dimanche 14 octobre 2012

Réseaux, contenus et technologies de communication : Amélioration de la sécurité des réseaux et de l’information dans l’UE


Maxime Pinard
Paris (France)
Fondateur de Cyberstrategia
0033 663 35 63 10

Paris, le 14 oct. 12

European Commission DIGIT IPM
 029126601081828812


IMPROVING NETWORK AND INFORMATION SECURITY (NIS) IN THE EU

Réseaux, contenus et technologies de communication :
Amélioration de la sécurité des réseaux et de l’information dans l’UE


Conformément à la possibilité que donne l’Europe aux citoyens et experts de thématiques précises de donner leur avis, le texte qui va suivre a pour objectif de donner des pistes de réflexion aux instances de la Commission européenne concernant la sécurité de l’information et des réseaux à l’échelle européenne.


                Les NTIC font aujourd’hui intégralement partie de notre existence. Aussi bien pour notre vie personnelle que pour notre vie professionnelle, elles sont devenues essentielles voire indispensables pour vivre en communauté. La construction européenne a facilité les déplacements au sein de l’union et a précipité l’essor des technologies de communication à distance. Un employé français travaillant en Allemagne peut collaborer avec son responsable situé en Espagne par exemple. La communication ne se résume pas à un simple appel téléphonique ; elle contient également la notion d’espace de travail collaboratif qui sous-entend l’échange d’informations, parfois sensibles.

Dans tous les secteurs d’activité, les NTIC sont présentes, voire conditionnent le développement des entreprises concernées. Les citoyens ne sont pas mis à l’écart de cette prépondérance technologique : les faibles coûts des outils technologiques ont permis de démocratiser à une vitesse fulgurante l’accès à tous au cyberespace. Bien qu’il y ait de très fortes disparités au sein de l’UE, force est de constater qu’il demeure relativement aisé d’avoir un accès à internet. Les citoyens sont d’autant plus impliqués dans cette réalité que des services faisant appel exclusivement aux NTIC ont été développés : commerce en ligne (qui a tendance à supplanter les acteurs traditionnels du secteur qui ont encore un ancrage fort dans le commerce traditionnel), géolocalisation, échanges à la fois informatifs et financiers avec les administrations de chaque état (remplissage et paiement en ligne des impôts…)…

Le succès incontestable de ces services démontre l’attrait pour les citoyens européens qui y voient une simplification de leur démarche et surtout un gain de temps. La confiance en ces services, très limitée au départ (le commerce en ligne a mis plusieurs années pour se faire accepter de citoyens habitués à un paiement « visuel », c’est-à-dire avec un interlocuteur en face de soi, plutôt qu’une page web), est désormais très forte, grâce aux mesures prises par les banques (sécurisation des paiements à plusieurs niveaux), les entreprises vendant en ligne (politiques de contrôle accrues).

Pourtant, il y a une menace qui semble bien être considérée avec intérêt par la Commission, comme en témoigne la demande de la Commission auprès des experts et citoyens. Plusieurs rapports provenant des acteurs de la sécurité informatique (Kaspersky, Symantec…) ou de géants du secteur (IBM, HP) alertent de façon de plus en plus appuyée sur ce qu’il convient de nommer de façon générale les cybermenaces, dont la cybercriminalité. Il s’agit d’un fléau majeur qui est difficile à apprécier dans son ensemble, tant il est discret et tant ses ramifications sont multiples, le perfectionnement de communications inter-réseaux y étant en partie responsable. Toujours est-il que les dommages causés par la cybercriminalité se chiffrent en centaines de millions d’euros.

Le terme même de cybercriminalité est relativement large et englobe de nombreuses réalités que nous ne pouvons toutes dissocier dans ce texte. Rappelons simplement que la cybercriminalité, comme pour tout acte criminel nécessite un commanditaire / (et ou) exécutant, un type d’action et une victime.

-          Les commanditaires sont de nature variable : il peut très bien s’agir d’un jeune pirate informatique désirant modifier des informations sur son relevé de notes en ligne. Ou il peut être question, et là nous entrons dans une dimension beaucoup plus délicate en matière de sécurité, d’un réseau de cybercriminels dont l’objectif est purement financier. Il ne se passe pas une semaine sans que des affaires sont révélées, et ce sur tous les continents, y compris l’Union européenne qui n’est pas à l’abri, les cybercriminels profitant de l’hétérogénéité législative pour perpétrer leurs méfaits.

-          Les types d’actions sont très nombreux : ils vont du simple blocage de page internet via une attaque dite « par saturation » à l’infiltration au sein des serveurs d’une entreprise via un vers ou un cheval de Troie, en passant par le vol et la suppression des données sensibles d’une entreprise. Il convient de rappeler qu’en dépit de toutes les mesures techniques qui pourraient être prises, le risque zéro n’existe pas. Il y aura toujours une faille, et ce n’est qu’au travers du prisme de la réactivité de l’entité visée que l’on jugera si la réponse a été efficace ou pas.

-          La victime peut être un simple citoyen qui a été berné et a donné des informations personnelles sur un faux site bancaire par exemple. Ou alors il peut s’agir d’une entreprise qui a été espionnée avec le risque de pertes de marché futures en raison des informations sensibles dérobées. Mais le mot clé qui doit caractériser la victime est bien la notion de « confiance ». Les instances bancaires sont aujourd’hui en pointe dans le dialogue qu’elles établissent avec leurs clients pour les sensibiliser à la protection de leurs informations, qui est clairement un domaine stratégique pour nous tous aujourd’hui. En effet, elles ont intériorisé l’idée fondamentale qu’un citoyen victime aura du mal à refaire confiance au service qu’il utilisait jusqu’à présent.


Une sensibilisation perfectible :

                On pense généralement que sous prétexte d’un taux de pénétration des NTIC dans les foyers et dans les entreprises particulièrement élevé, nous avons les connaissances suffisantes en matière de sécurisation de nos données. C’est faux ! De façon empirique et très rapide, on peut démontrer avec une inquiétante facilité qu’un bon nombre de réseaux de particuliers et d’entreprises ne sont soit pas du tout sécurisés, soit ont des protections d’un niveau anormalement bas avec des mots de passe facilement trouvables.

Ce sentiment est également alimenté par la confusion sémantique qui règne autour de l’idée d’informatique. Les utilisateurs des NTIC ne sont pas nécessairement (loin de là) des informaticiens d’un niveau satisfaisant, comprenant la structure et l’agencement des outils qu’ils utilisent. Ils peuvent dans leur grande majorité être assimilés à de simples consommateurs de contenus issus des NTIC, et le verrouillage de systèmes d’exploitation, comme ceux d’Apple et Microsoft, montre que ces entreprises ne veulent pas donner accès aux utilisateurs à l’ensemble des informations de leurs logiciels, pour des questions de confidentialité parfaitement compréhensibles, mais également pour des questions de sécurité pour l’utilisateur lui-même qui pourrait rendre vulnérable ses outils. Rappelons en outre qu’en raison de l’interactivité des services des NTIC, une faille chez un utilisateur peut affecter des milliers d’autres, comme un virus.

La sensibilisation est d’autant plus perfectible que les NTIC ont fait de la frontière entre vie privée et vie professionnelle une structure relativement poreuse. En dépit de mises en garde répétées, comme celle de l’ANSSI, une agence française en charge de la sécurité de l’information, il semble « normal » à beaucoup d’utiliser les mêmes terminaux au travail et à la maison. Or, les mesures de sécurité ne sont évidemment pas les mêmes entre le domicile et l’entreprise, et l’intrusion au sein de sa société d’un terminal grand public, qui ne jouit pas du même niveau de sophistication en matière de sécurité qu’un terminal d’entreprise, est une menace relativement prise en compte par les responsables de la sécurité informatique. Ces derniers sont cependant dépendants de la direction des entreprises à qui revient le devoir de mettre en place des processus d’interdiction. Le chemin reste long pour arriver à résultat absolu, lorsqu’on constate que ces pratiques sont également courantes au sein des administrations et des cabinets ministériels…

Recommandations :

Il ne s’agit ici que de pistes de réflexions qui pourraient être développées plus en détails si besoin.

-          Il convient en tout cas de penser pour chaque solution envisagée au niveau européen. Cet impératif a pour objectif de faciliter le travail des entreprises européennes qui auront ainsi un cadre législatif uniforme et identique, aussi bien en France, qu’en Allemagne ou que dans tout autre pays européen. En outre, cela aura aussi pour effet de créer une conscience européenne sur un sujet particulièrement important : la sécurisation de nos informations.

-          Il faut que le budget et les pouvoirs de l’ENISA soient de façon substantielle renforcés si l’on envisage de lui confier des missions de plus grande ampleur. Il ne s’agit plus seulement de faire des communications sur les menaces qui pèsent sur les citoyens et les entreprises, mais bien de fixer des règles, que tous devraient respecter. Il est bien ici question d’un enjeu sécuritaire et contraignant pour tous.

-          La priorité est de répertorier toutes les entreprises dites sensibles (Défense…) ainsi que les Administrations et de s’assurer que toutes leurs informations sont stockées sur des serveurs basés en Europe. En effet, une telle mesure éviterait que des entreprises soient mises en difficulté si leurs serveurs sont basés aux USA par exemple, où la législation en place permet d’inspecter toutes les données supposées en conflit avec la sécurité du pays.

-          Un travail de collaboration renforcée doit être mis en place entre l’ENISA et ses homologues nationaux (il conviendra aussi de combler les disparités entre chaque état). Ces deux échelons sont nécessaires car chaque structure nationale a une connaissance des secteurs stratégiques qu’il est difficilement transposable à l’échelle européenne.

-          Un registre européen faisant état des menaces en temps réel doit être créé et accessible à toutes les entreprises européennes qui en feraient la demande (système d’abonnement par exemple). La réactivité gagnée permettrait assurément d’éviter des pertes pour les entreprises visées.

-          Pour une efficacité accrue, toute cyberattaque devrait être signalée auprès de l’agence nationale qui devra en informer l’instance européenne. Il ne s’agit pas ici d’une simple compilation d’attaques survenues, mais de participer à l’élaboration d’une stratégie de défense, voire de contre-attaque. A ce titre, l’Union européenne doit clairement se donner les moyens de ses ambitions ; il ne s’agit pas d’imiter le Cybercommand américain et ses 3.5 milliards de dollars de budget annuel mais plutôt de renforcer l’ENISA ou alors de créer une agence répondant aux spécificités du continent européen.

-          Le discours de l’ENISA doit être porté à l’échelle internationale via la Commission et le Parlement. Il faut que l’Union européenne renforce sa crédibilité sur ce sujet en n’hésitant pas, lorsque toutes les preuves sont réunies, à engager des discussions fermes avec les pays qui hébergeraient des réseaux de cybercriminels.

-          L’Union européenne manque cruellement de leaders puissants en matière de cybersécurité, à même de fournir aussi bien aux citoyens qu’aux entreprises des outils de sécurisation facilement paramétrables. Aujourd’hui, les leaders sont américains et russes. L’Union européenne a pourtant toutes les compétences en interne pour créer un géant dans ce secteur stratégique et potentiellement source de revenus non négligeables.

-          Les mesures prises devront impérativement être pensées et agencées de telle manière qu’il n’y ait pas intrusion dans les vies privées et professionnelles. Il ne saurait être question de la création d’un « Big Brother européen ». C’est un procédé difficile dans la mesure où la sécurisation de l’information et des serveurs passe souvent par l’observation et l’écoute des communications, mais il faut que le Parlement, ou moins une commission spécifique au sein du Parlement, vérifie annuellement que les mesures prises n’enfreignent pas les lois.  

-          L’Union européenne, et cela rejoint sa politique industrielle, doit avoir des technologies européennes performantes. Il ne s’agit pas ici de reprendre les conclusions du rapport du sénateur Bockel, demandant entre à ce que l’on n’achète plus les serveurs de deux grands groupes chinois sous prétexte qu’ils pourraient être détournés de leurs utilisations premières, mais bien d’espérer que des leaders dans ces domaines (serveurs, technologies de communication) voient le jour au niveau européen. L’objectif n’est pas de créer un protectionnisme européen dans le domaine, mais plutôt de contribuer à ce que l’Union européenne soit relativement autonome dans un secteur où elle est davantage spectatrice qu’actrice.

-          Une sensibilisation plus poussée doit être mise en place, et en particulier auprès des citoyens européens qui sont une cible de choix pour les cybercriminels. Cela doit passer par des formations auprès des écoles par exemple, ou dans les entreprises avec des ateliers pour définir ce qui doit être sécurisé et quelles sont les conséquences en cas de non-respect des procédures. L’Union européenne pourrait ainsi s’appuyer sur ce que font déjà de grands groupes européens pour établir des procédures faciles à mettre en place.
Il faut bien noter que la sensibilisation et la protection des informations numérisées impliquent une collaboration générale, allant du citoyen à l’entreprise aux informations sensibles. Certes, il y aura toujours des failles dans le système car certains ont intérêt à ce que la cybercriminalité progresse, mais si l’Union européenne mène une politique active de prévention, de création d’outils spécifiques (logiciels, déclaration des droits et des devoirs du cybercitoyen…), et de répression sur son territoire lorsque des cyberattaques sont menées, alors les pertes seront faibles.


Toutes ces mesures ont un coût et impliquent un investissement humain conséquent, mais si l’on observe ce que coûtent chaque année les cyberattaques, aussi bien en terme financier qu’en terme d’image, le gain à moyen et long terme est évident.


L’Union européenne devrait créer une commission d’experts, chaque Etat y envoyant deux membres, l’un ayant une approche purement technique, l’autre une approche mêlant politique de sécurité et connaissance des enjeux stratégiques mondiaux, avec pour mission fondamentale dans un délai de deux ans de présenter une série de mesures techniques (avec une mesure de leur faisabilité dans un contexte de crise économique important) couplée à une approche stratégique pour faire de l’Union européenne un exemple en matière de protection de l’information à l’international. Les grandes puissances, Etats-Unis et Chine en tête, travaillent sur ces questions et ont déjà les structures opérantes : l’Union européenne doit rattraper son retard, il en va de sa compétitivité. 

Aucun commentaire:

Enregistrer un commentaire