Éditoriaux Défense Sécurité Terrorisme Zones de conflits Logistique Livres de référence Liens
Terre Air Mer Gendarmerie Renseignement Infoguerre Cyber Recherche

La sécurité des systèmes d

La sécurité des systèmes d'information : un enjeu de souveraineté nationale (14)

Après les attentats du 11 septembre, les gouvernements européens ont compris l'urgente nécessité de relever les défi imposés par l’évolution rapide des technologies et des menaces. Côté français, les efforts accomplis, pour méritoires qu’ils fussent... n’étaient pas en mesure de relever de tels défis... Les services du Premier ministre, analysant « la demande de sécurité et l’offre disponible » entendirent « favoriser la structuration d’une filière de sécurisation des réseaux pour assurer l’autonomie nationale[1] Matigon a donc commandé en ce sens un rapport au SGDN - devenu SGDSN - « pour redéfinir les priorités et proposer des solutions » à la hauteur des enjeux. Le député Pierre Lasbordes s'est alors vu confier par François Fillon une mission parlementaire sur la sécurisation des réseaux. « L'objectif étant d'accroître et mobiliser les moyens judiciaires en reconnaissant la spécificité des contentieux liés aux systèmes d’information, en protégeant les systèmes de l’État et des infrastructures vitales (SAIV).»[1] « L’information et les systèmes qui la traitent sont des actifs pour les entreprises comme pour les nations : ils facilitent les échanges, constituent un facteur d’efficacité et de productivité et sont devenus un fait incontournable dans le paysage de l'administration, des systèmes d'information et de commandement des armées, du commerce, etc. Mais ces systèmes d’information sont dans le même temps une source de vulnérabilité, car ils ne sont pas ou peu sécurisés et parce qu’ils reposent sur des protocoles (en particulier les protocoles internet) non sécurisés.[2] L’actif "système d’information" pourrait devenir toxique s’il se mettait à diffuser des informations falsifiées vers un système de gestion de processus industriel ou vers un système d'armes, s’il ne parvenait plus à alimenter un centre de gestion de crise, s’il contaminait ses voisins, etc.»[3] Pour le "grand dossier" de la revue Défense consacré à "la cybercriminalité sous toutes ses formes",[4] Sébastien Héon rappelle pourquoi il est fondamental pour un État de protéger ses systèmes de communication. Ce texte est reproduit ici avec l'accord de la rédaction de la revue. Paris le 15 octobre 2010.©

par Sébastien Héon (*)

"Les moyens d’information et de communication sont devenus les systèmes nerveux de nos sociétés, sans lesquels elles ne peuvent plus fonctionner".[5] Dans tous les domaines, et notamment pour les opérations militaires, les communications ont effectivement pris une importance considérable. Il était impensable, il y a quelques années encore, de suivre en temps réel des images d'un théâtre d'opérations depuis un État-major. Aujourd'hui, ces capacités sont disponibles et mises en œuvre aussi bien au niveau stratégique qu'au niveau tactique. Tant et si bien que les analystes américains chargés de traiter les vidéos enregistrées par les drones d'observation en Afghanistan sont aujourd'hui saturés d'information.[6]

Sébastien Héon

Les communications sont tellement intégrées et présentes dans chaque système d'armes, que leur défaillance aurait de graves conséquences sur le déroulement des opérations. En 2009, par exemple, le code malveillant Conficker a causé de nombreux dysfonctionnements au sein du ministère de la Défense.[7] De même, on soupçonne que le crash d'un avion espagnol ayant causé 154 victimes en 2008 soit du à un virus informatique.[8] Un incident informatique, malveillant ou accidentel, a donc des conséquences directes sur notre sécurité physique et notre capacité d'engagement. La sécurité des moyens d'information et de communication est devenue presque aussi importante que les moyens eux-mêmes.

Pourtant, assurer la sécurité globale des systèmes d'information militaires est un processus complexe devant préserver un équilibre délicat.

Un processus complexe

A propos des systèmes d'information militaires américains, Le général Keith B. Alexander, premier commandant de l'USCYBERCOM créé en mai 2010 aux États-Unis, affirmait en juin 2010 : "We do not have a COP, a common operating picture, for our networks. We need to get there. We need to build that".[9] Effectivement, la complexité des systèmes d'information déployés aujourd'hui est telle qu'il est difficile de superviser leur sécurité comme on pourrait l'envisager pour une infrastructure matérielle, telle qu'une usine, ou même un pipeline. Voir et surveiller des milliers d'équipements sophistiqués qui sont éparpillés géographiquement, requiert un savoir-faire de très haut niveau.

Des équipements de pointe sont bien sûr indispensables, mais globalement, ce savoir-faire dépasse largement le giron de la technologie. En effet, la sécurité des systèmes d'information, en effet, n'est pas une fin en soi mais contribue au bon déroulement des missions opérationnelles. Le commandement doit avoir un tableau de bord synthétique de la situation sécuritaire, en temps réel,  dans le but d'étayer ses prises de décision, en temps de crise ou d'opération comme en régime de croisière. Il faut donc qu'il puisse disposer d'outils d'aide à la décision qui présentent une information de niveau idoine : mesurer l'impact d'un incident de sécurité des systèmes d'information sur une opération militaire en cours, évaluer le coût d'un incident informatique et les pertes capacitaires qu'il pourrait entraîner, etc.

De même, l'utilisateur final, sur le terrain, dans l'action, doit être clairement guidé pour réagir correctement en cas d'incident. Son objectif est avant tout d'accomplir sa mission sans que des problèmes "de techniciens" ne viennent l'en empêcher. Il doit être sensibilisé aux risques et menaces qui pèsent sur les systèmes qu'il utilise et sur les moyens alternatifs mis à sa disposition en cas de problème.

Enfin, les opérateurs, ceux qui surveillent les réseaux de communication en temps réel, doivent avoir à leur disposition des outils sophistiqués qui les guident pour détecter et résoudre les problèmes du quotidien le plus rapidement possible. Les experts qui sont une ressource rare sont ainsi moins sollicités pour le tout venant et peuvent ainsi se concentrer sur les problèmes les plus complexes.

Tous ces acteurs des systèmes d'information doivent être sensibilisés, formés, entraînés régulièrement, ce qui demande, là encore, des moyens et des processus importants.

Ainsi, il faut sans doute aller encore plus loin que la common operational picture dont parle le général Alexander et mettre en place un triptyque composé de technologies de pointe, des processus opérationnels formalisés, régulièrement exercés, et de ressources humaines efficacement formées et entraînées. Assurer la sécurité du système nerveux constitué des moyens de communication, est bien un processus global qui va de la formation des opérateurs aux choix stratégiques du commandement.

 

Un équilibre délicat

Outre les processus décrits ci-dessus, le contexte particulier des opérations militaires en coalition, de plus en plus nombreuses, apporte une  difficulté supplémentaire.

Bien qu'en coalition, chaque nation doit préserver sa souveraineté et son indépendance. La France, par exemple, s'est dotée d'une mention "Spécial France" pour distinguer les informations strictement nationales de celles qui sont partageables avec ses alliés. Cette volonté de souveraineté, indispensable, impose de facto plusieurs couches de sécurité des systèmes d'information afin d'isoler le "Spécial France" du reste des informations de la coalition. Faut-il pour cela dupliquer les réseaux pour isoler ces informations nationales ? C'est évidemment une solution simple mais qui démultiplie largement les coûts. Il faut acquérir, déployer, maintenir en condition opérationnelle et en condition de sécurité plusieurs réseaux de communication aux règles de maintenance différentes. Et il ne s'agit pas seulement de matériel, il faut aussi des spécialistes disponibles, formés et entraînés pour opérer ces réseaux. Il est clair que cela va à l'encontre des tendances actuelles à la mutualisation et à la rationalisation dans un contexte de diminution des effectifs et de réduction des finances publiques.

Cette situation pousse finalement à s'interroger sur la nécessité de maintenir des canaux de communication particuliers pour des informations "Spécial France". Mais il semble dangereux pour autant de les faire disparaître complètement.

En effet, que ce soit en opération extérieure ou pour protéger le territoire national, il existera toujours des informations hautement classifiées et stratégiques, que la France ne devra pas partager. L'existence de réseaux sécurisés exclusivement nationaux est donc un impératif. Mais si leur nombre diminue trop, si l'on tombe sous une certaine masse critique, comment assurer leur sécurité en toute indépendance ? On l'a vu, la sécurité des systèmes d'information requiert un savoir-faire technologique de très haut niveau évoluant rapidement. Rester en permanence à la pointe de ces technologies demande un investissement régulier en recherche et développement, tant au sein de l'Etat que dans le monde industriel. Dans ces conditions, comment maintenir à niveau une industrie de confiance dans un domaine stratégique mais non rentable ?

La tentation est alors forte d'externaliser la sécurité de ses systèmes d'information. Importer du matériel sur étagère permettrait effectivement de réduire les investissements mais cela présente deux inconvénients majeurs.

Tout d'abord, cela ne permet pas d'élaguer les coûts de fonctionnement du processus complet de la sécurité des systèmes d'information. Il faudra continuer à notamment former, entraîner et déployer, exploiter et maintenir des systèmes d'information.

Ensuite, il est impossible d'avoir des garanties sur la sécurité effective qu'apportent des équipements développés hors de tout contrôle étatique. La complexité des équipements empêche les analyses a posteriori. Concrètement, les éventuelles failles de sécurité résiduelles sont quasiment impossibles à détecter en un temps raisonnable. Pour cette raison, il est fondamental de construire et de maintenir en France une industrie de confiance qui satisfait des processus stricts de contrôle qualité.

Vers une évolution du modèle ?

Curieusement, la sécurité des systèmes d'information, ce domaine de techniciens et d'ingénieurs, bouscule les limites de notre système actuel. Garantir la souveraineté nationale tout en opérant en coalition, maintenir une industrie de confiance dans des domaines de haute technologie dans des contextes budgétaires extrêmement contraints sont autant de nouveaux défis que nous devons relever.

Pour cela, peut-on imaginer d'autres méthodes, plus souples, permettant de mutualiser et de capitaliser l'expertise tout en limitant les coûts ?

Plusieurs pistes peuvent être explorées. Le modèle anglo-saxon d'équipes intégrées, où l'expertise technique et la maintenance opérationnelle des réseaux est partagée entre l'État et l'industrie, est à étudier. A condition, bien entendu d'analyser finement comment garantir l'impartialité d'attribution des marchés, la manière de spécifier le besoin et de passer les contrats, etc.

La convergence technologique des équipements civils et militaires permettrait sans doute aussi de limiter les coûts de développement et d'accroître la taille des marchés potentiels. Enfin, État et industrie pourraient se grouper pour mettre en place des filières de formation d'experts en sécurité des systèmes d'information et des fondations pour la recherche fondamentale et appliquée afin d'entretenir une capacité d'innovation et donc un avantage concurrentiel sur des marchés extérieurs.

Il n'existe pas, bien sûr, de solution miracle mais nous devons aujourd'hui explorer toutes les alternatives possibles. Nous n'avons plus les moyens de maintenir la situation actuelle.

(*) Sébastien Héon est senior manager pour les activités de renseignement et de cybersécurité chez EADS Defence & Security. Il a commencé sa carrière comme professeur de mathématiques puis a rejoint le ministère de la Défense en tant qu'expert en cryptologie. Après dix ans à différents postes, il devient conseiller pour les relations internationales à l'Agence Nationale de la Sécurité des Systèmes d'Information, avant de rejoindre EADS en 2009.

[1] Voir dans ce même grand dossier : L'État et la sécurité des systèmes d'information (SSI) par Joël-François Dumont.
[2] Voir dans ce même grand dossier : Internet : un réseau fondamentalement non sûr par Vincent Nicomette.
[3] Voir dans ce même grand dossier : Cyber-défense : vers une défense active par Stanislas de Maupeou.
[4] Numéro 147 de Défense (septembre-octobre 2010), revue bimestrielle de l'Union des Associations des Auditeurs de l'Institut des Hautes Études de Défense Nationale (IHEDN), réalisée par des bénévoles, « auditeurs de l'IH ». Abonnements: BP 41-00445 Armées.
[5] « Le Livre blanc élève la protection des systèmes d’information au rang de composante à part entière de notre politique de défense ». Voir Livre blanc p. 53.
[6] Voir 2010 US Cybersecurity and the role of US CYBERCOM – Center for Strategic and International Studies, June 3, 2010.
[7] Voir notamment : http://secretdefense.blogs.liberation.fr/defense/2009/02/les-armes-attaq.html
[8] El ordenador de Spanair que anotaba los fallos en los aviones tenía virus – El Pais, 20/08/2010.
[9] US Cybersecurity and the role of US CYBERCOM – Center for Strategic and International Studies, June 3, 2010.

Au sommaire du grand dossier :

 


Derniers articles

Verdun 2016 : La légende de la « tranchée des baïonnettes »
Eyes in the Dark: Navy Dive Helmet Display Emerges as Game-Changer
OIR Official: Captured Info Describes ISIL Operations in Manbij
Cyber, Space, Middle East Join Nuclear Triad Topics at Deterrence Meeting
Carter Opens Second DoD Innovation Hub in Boston
Triomphe de St-Cyr : le Vietnam sur les rangs
Dwight D. Eisenhower Conducts First OIR Missions from Arabian Gulf
L’amiral Prazuck prend la manœuvre de la Marine
Airmen Practice Rescuing Downed Pilots in Pacific Thunder 16-2
On ne lutte pas contre les moustiques avec une Kalachnikov...
Enemy Mine: Underwater Drones Hunt Buried Targets, Save Lives
Daesh Publications Are Translated Into Eleven Languages
Opération Chammal : 10 000 heures de vol en opération pour les Mirage 2000 basés en Jordanie
Le Drian : Daech : une réponse à plusieurs niveaux
Carter: Defense Ministers Agree on Next Steps in Counter-ISIL Fight
Carter Convenes Counter-ISIL Coalition Meeting at Andrews
Carter Welcomes France’s Increased Counter-ISIL Support
100-Plus Aircraft Fly in for Exercise Red Flag 16-3
Growlers Soar With B-1s Around Ellsworth AFB
A-10s Deploy to Slovakia for Cross-Border Training
We Don’t Fight Against Mosquitoes With a Kalashnikov
Bug-Hunting Computers to Compete in DARPA Cyber Grand Challenge
Chiefs of US and Chinese Navies Agree on Need for Cooperation
DoD Cyber Strategy Defines How Officials Discern Cyber Incidents from Armed Attacks
Vice Adm. Tighe Takes Charge of Information Warfare, Naval Intelligence
Truman Strike Group Completes Eight-Month Deployment
KC-46 Completes Milestone by Refueling Fighter Jet, Cargo Plane
Air Dominance and the Critical Role of Fifth Generation Fighters
Une nation est une âme
The Challenges of Ungoverned Spaces
Carter Salutes Iraqi Forces, Announces 560 U.S. Troops to Deploy to Iraq
Obama: U.S. Commitment to European Security is Unwavering in Pivotal Time for NATO
International Court to Decide Sovereignty Issue in South China Sea
La SPA 75 est centenaire !
U.S. to Deploy THAAD Missile Battery to South Korea
Maintien en condition des matériels : reprendre l’initiative
La veste « léopard », premier uniforme militaire de camouflage
Océan Indien 2016 : Opérations & Coopération
Truman Transits Strait of Gibraltar
Navy Unveils National Museum of the American Sailor
New Navy, Old Tar
Marcel Dassault parrain de la nouvelle promotion d’officiers de l’École de l’Air
RIMPAC 2016 : Ravitaillement à la mer pour le Prairial avant l’arrivée à Hawaii
Bataille de la Somme, l’oubliée
U.S., Iceland Sign Security Cooperation Agreement
Cléopatra : la frégate Jean Bart entre dans l’histoire du BPC Gamal Abdel Nasser
Surveiller l’espace maritime français aussi par satellite
America's Navy-Marine Corps Team Fuse for RIMPAC 2016
Stratégie France : Plaidoyer pour une véritable coopération franco-allemande
La lumière du Droit rayonne au bout du chemin





Directeur de la publication : Joël-François Dumont
Comité de rédaction : Jacques de Lestapis, Hugues Dumont, François de Vries (Bruxelles), Hans-Ulrich Helfer (Suisse), Michael Hellerforth (Allemagne).
Comité militaire : VAE Guy Labouérie (†), GAA François Mermet (2S), CF Patrice Théry (Asie).

Contact