Embed Size (px)
Citation preview
1
SÉ MINAIRÉ BRUXÉLLÉS 3 & 4 DÉ CÉMBRÉ 2015
How Cyber is integrated in the planning of EU CDSP operations & missions
Propos liminaires
Introduction : M. Philippe Setton, Ambassadeur, Représentant permanent de la France auprès du
COPS1
En 2013, l’UE s’est dotée d’une stratégie de cybersécurité à la suite des travaux menés conjointement
par le SEAE2 et la Commission Européenne. Cette stratégie s’articule principalement autour de quatre
thèmes :
Le renforcement de la cyberrésilience des SI de l’UE (directive NIS3) ;
la lutte contre la cybercriminalité ;
le développement de la politique industrielle et de recherche dans le domaine de la
cybersécurité ;
la définition d’un cadre pour la coopération avec les partenaires de l’UE, en particulier avec
l’OTAN.
L’intégration de la cybersécurité aux différents niveaux de la planification et de la conduite des
missions de l’UE est donc un sujet prégnant. Par exemple, cette dimension est d’ors et déjà
pleinement intégrée à l’opération EUNAVFOR MED pour la lutte contre les trafiquants de migrants ou
bien encore au sein de la force EUFOR RCA.
Parallèlement, son Excellence rappelle que des travaux sont conduits par l’Etat Major de l’UE, l’EAD4
et le CPCC5 mais qu’il incombe aux états membres de l’UE d’assurer leur propre cybersécurité.
1 Comité Politique et de Sécurité de l’UE 2 Service Européen pour l’Action Extérieure 3 Network and Information Security 4 Agence Européenne de Défense 5 Capacité civile de planification et de conduite
2
Intégration du cyberespace dans la PSDC
Intervention de M. François Rivasseau, chargé de l'espace et de la sécurité du numérique au sein du
SEAE
Dans le cadre de son action en matière de cybersécurité, le SEAE a assisté la Commission
Européenne dans l’adoption d’une politique de gestion du risque cyber intitulée Cyber Defence Policy
Framework. Cette dernière reconnait la recrudescence et la réalité des attaques cyber d’origines
étatiques et non-étatiques ainsi que les risques inhérents pesant sur les infrastructures critiques de
l’UE. La cybersécurité est alors défini comme l’action regroupant l’ensemble des mesures prises pour
se défendre contre ce type d’agressions.
Elle se décline sous la forme de six priorités permettant de garantir un niveau de cybersécurité
minimal dans le cadre de l’action multilatérale de l’UE.
1. Soutenir le développement des capacités cyber des états membres au travers de la PSDC6.
En particulier, il s’agit de développer les outils de surveillance concourant à la prévention, la
protection et l’analyse forensic ainsi qu’à l’élaboration de la Situation Awareness et ce dans
une démarche favorisant le principe de Pooling & Sharing, c'est-à-dire la mise en commun
des capacités et des connaissances entre les états membres ;
2. Protéger les SI de l’UE dans le cadre de la PSDC (en particulier ceux du SEAE). L’emploi des
communications par satellite sont un facteur de grande vulnérabilité ce qui implique qu’il est
plus que jamais nécessaire de prendre en considération le risque cyber dans la conception et
l’exploitation du segment spatial, ce qui est par exemple le cas pour Galileo ;
3. Promouvoir la coopération civilo-militaire (Horizon 2020, CESAR, Galileo, etc.) dans le cadre
du développement des capacités duales ;
4. Mettre à jour et développer des formations adaptées (e.g. programme cyber ajouté au cursus
ERASMUS) et réaliser des exercices conjoints (e.g. MILEX 2016)
5. Favoriser l’intégration et la coopération avec les acteurs et partenaires internationaux de l’UE
(Tels que l’OTAN, le CCD CoE de Tallin, etc.) afin de faciliter le dialogue entre les CERT
notamment ;
6. Enfin, promouvoir les normes de comportements responsables et le code de conduite par le
biais de la diplomatie de l’UE. Ceci dans le but d’améliorer la transparence et la prédictibilité
des acteurs étatiques dans le domaine numérique en s’appuyant sur des initiatives
internationales (GGE7 de l’ONU, OSCE, ASEAN, etc.).
M. Rivasseau conclue son intervention en faisant part de ses frustrations (sic.) et de son point de vue
sur les domaines où l’UE est en retrait dans le domaine de la cybersécurité :
6 Politique de Sécurité et de Défense Commune 7 Groupement des Experts Gouvernementaux
3
1. Premièrement, il estime qu’il est nécessaire de développer des solutions de continuité entre la
posture de cybersécurité/SSI de l’UE et la cyberdéfense pratiquée par les états membres. Il
reprend à cet effet le parallèle qui peut être fait avec la lutte contre la prolifération des armes
bactériologiques et chimiques en arguant que la continuité opérationnelle entre cybersécurité
et cyberdéfense est indispensable pour lutter efficacement contre la menace cyber.
2. Ensuite, il constate que les contraintes juridiques actuelles sont en inadéquation avec les
méthodes d’investigation et d’attribution pratiqués par certains états. Il prêche donc pour une
adaptation du droit international sur les modèles proposés par le manuel de Tallin ou encore
par le rapport du GGE ;
3. Troisièmement, il regrette que la culture de la cybersécurité ne soit pas suffisamment
développée au sein des institutions européennes et propose que l’on en fasse la promotion
« Cybersecurity is not IT »;
4. Finalement, eu égard à ses attributions au sein du SEAE, il conclue sur le risque cyber lié aux
vulnérabilités du segment spatial. En effet, bien que le SEAE assume des responsabilités
dans les domaines de la cybersécurité et de l’espace, trop souvent ces domaines sont
disjoints. Pourtant le segment spatial est érigé en tant priorité en terme de cybersécurité
puisque les réseaux satellitaires font partis des infrastructures critiques de l’UE au même titre
que le sont les centrales nucléaires, le transport aérien ou encore les espaces et les
infrastructures maritimes.
Question : Peut-on parler d’une agence européenne du renseignement, en particulier dans le domaine cyber ?
Non, le renseignement est une prérogative des états membres. Cependant, il existe un projet de
fusion des informations cyber et de présentation de la situation cyber au niveau de l’EDA.
4
Scénario prospectif de planification d’une intervention de l’UE en
dehors de ses frontières.
Le scénario de l’exercice militaire européen MILEX a été présenté par un élève officier des ESCC.
A partir d’une présentation PowerPoint, il a décrit les forces en présence, les menaces et les raisons
pour lesquelles l’Union Européenne se devait d’intervenir.
L’objectif était ainsi de reprendre une situation, sinon réelle, au moins crédible comme référence pour
les interventions ultérieures.
5
L’intégration du Cyber dans la planification des opérations militaires
françaises en OPEX : les différents échelons impliqués.
Définition du cyber espace
En reprenant les éléments du LBDSN 2013, Le Lcl Le Bihan a rappelé l’importance stratégique de se
prémunir et faire face aux menaces cyber.
Le Lcl Le Bihan a ensuite défini le cyber espace comme un nouvel espace de confrontation, qui est
plus large que celui des opérations.
Enjeux de l’intégration du cyber
Selon l’EMA/Cyber, il s’agit de de la mutualisation des effets au sein des opérations :
Dans le cyber espace;
Par le cyber espace;
Contre le cyber espace.
Menaces
Après avoir décrit les menaces générales, l’intervenant a détaillé celles pesant sur le Ministère de la
Défense. Il s’agit notamment :
De risques indirects sur les réseaux sensibles déconnectés,
De risques affectant la disponibilité des systèmes,
Des menaces djihadistes : communication sur les réseaux sociaux pouvant porter atteinte à
l’image, la stratégie des armées.
Organisation
En présentant l’organisation des entités traitant du cyber en France, le Lcl Le Bihan a insisté sur les
caractéristiques de la chaine cyber au sein du Mindef. Elle est :
Unifiée,
Centralisée au niveau du CPCO (Officier Général Cyber) permettant une vision globale,
Spécialisée dans le sens où elle intègre des compétences particulières.
Opérations
Le Lcl Bihan a décrit les entités impliquées dans les opérations cyber (CALID, cellule dédiées) en
soulignant la création toute récente du centre opérations cyber (COC) au niveau du CPCO.
Ce dernier a pour objectif la coordination des actions numériques avec les autres entités du CPCO
afin d’intégrer le cyber à tous les niveaux : avoir le bon effet, au moment, au bon endroit.
A ce titre, l’intervenant précise que la planification des actions numériques suit le même circuit que
pour les actions cinétiques. Le rôle du renseignement est décrit comme primordial.
6
Les besoins en formation cyber : une perspective belge
Résumé : le ministère de la Défense belge dispose de très peu de formation en cyber sécurité (rien
au-delà de la sensibilisation), il participe alors à tous les efforts de coopération multilatérale dans le
domaine de la formation (Europe, OTAN, etc.), ou en bilatérale (France, Pays-Bas, etc.).
Le MAJOR (OF3) Jeff VANDROME est responsable de la formation Cyber à l’état-major belge du
ministère de la défense en charge du budget, de la politique et des relations de partenariat.
La stratégie nationale belge en cyber défense a été publiée en décembre 2012 (avec un budget très
limité). Cette stratégie a permis le développement d’accord pour la formation puisque le ministère de
la Défense belge ne dispose pas de formation de haut niveau en cyber sécurité. La volonté était de
montrer que la Belgique est un interlocuteur crédible, même si ce sujet n’est pris en compte que
depuis 3 ans.
En aout 2014 (plus de deux ans après la publication de la stratégie), un centre de cyber sécurité
(CCB) a été créé, sous l’autorité du Premier ministre. Le CERT belge est sous l’autorité de de Centre
de Cyber sécurité.
La vision de la cyber sécurité belge est à 5 ans (2020), avec une organisation de la cyber sécurité
regroupant la cyber défense, le renseignement cyber et la « cyber contre offensive » (la loi belge
permet de neutraliser l’assaillant).
L’iOC de cette capacité belge devra être prononcé en 2016, et la FOC en 2020.
Un premier exercice a eu lieu en 2014 (exercice capture the flag pour détecter les personnels
compétents en interne du ministère de la Défense).
L’entraînement et la formation comprennent aujourd’hui :
- La formation End User (par une formation en ligne)
- Des breifing avant le départ en Opex ;
- La formation spécifique des cadres ;
- La formation des candidats officiers ;
- Des exercices ;
- Des séminaires.
Mais pour des formations de plus haut niveau et plus académiques, ils ont développé :
- Des partenariats avec l’EDA et l’ESDC (CESD) ;
7
- Des accords avec les écoles de l’OTAN (Latina et Oberammergau), SANS (Las Vegas), le pôle
cyber Bretagne, l’armée néerlandaise, etc.
- Des accords d’intégration dans le CCD-COE (lettre signée en octobre 2015) ;
Au-delà de la formation, le défi pour l’armée belge est le recrutement (le recrutement dans le secteur
public est très contraint financièrement et administrativement). La formation permet un recrutement
plus facile de compétence moins spécifique.
Conclusion :
- Il faut investir dans les gens ;
- Il faut créer des partenariats (bientôt le CALID) pour créer une communauté de confiance ;
- Il faut avoir le plus d’options de formation.
8
L’approche de formation par le CESD en cyber sécurité et en cyberdéfense.
Résumé : le CESD propose des formations de haut niveau en Cyber sécurité. L’objectif de la CESD
est de former les officiers, les hauts fonctionnaires prioritairement des institutions européennes, puis
des états membres de l’Union européenne (volonté de mêler Officiers, hauts fonctionnaires et cadets).
L’objectif est d’avoir une culture européenne commune grâce à la formation, de créer des liens entre
les traitants (favoriser la création de réseau professionnel).
« Le Collège européen de sécurité et de défense (CESD, en anglais ESDC) est un institut
d’enseignement dont le rôle est de promouvoir la compréhension de la Politique européenne de la
sécurité et de la défense (PESD). »
« Ses objectifs sont de :
• Renforcer la culture européenne de la sécurité dans le cadre de la PSDC
• Promouvoir une meilleure compréhension de la PSDC
• Permettre aux instances de l’UE ainsi qu’aux administrations et états-majors des pays membres de
disposer d’un personnel qualifié, capable de travailler efficacement sur toutes les questions relevant
de la PSDC
• Contribuer à favoriser les relations et les contacts professionnels entre les participants aux activités
de formation. »
L’ESDC est née dans les idées en 1991, a été actée dans le sommet de Tervueren en 2003, et a été
créée en 2005. Elle regroupe 80 nations. Le budget est limité et le CESD s’appuie sur des partenaires
(p. ex. IHEDN principalement pour la France).
Le domaine Cyber est pris en charge depuis 2010. Il existe 2 cours de cyberdéfense (de 1 semaine)
dont un à St Cyr (fait en octobre 2015 au profit de la Belgique et du Portugal). En 2015, il y a eu 5
semaines de cours. En 2016, 10 cours sont planifiés (notamment en profit des prédéploiements en
opération extérieure).
Depuis 2008, le CESD assure une partie de la formation des jeunes officiers dans le cadre
d’ERASMUS EU OFFICER. “Cyber is one of the 8 topics of international semester (IMAF 2015).”
Le CESD crée un forum académique au profit des « petits pays de l’Est », en particulier pour les
cadets militaires.
Pour le futur :
- Intégration de CESD dans EDA, ENIS, ECTEG, EC3, CEPOL, CCD-COE, etc.
- Développement de plus de cours, plus d’exercices, plus d’e-learning.
9
La place du cyber dans la planification des missions civiles de l’UE
Volet civil des missions de gestion de crise à l'étranger. Comment sont planifiées ces dernières ?
Les missions extérieures de gestion de crise décidées et conduites par’lUE sont planifiées suivant
trois axes. A ce jour, le volet cyber n'est pas pris en compte directement mais peut êtres mis en œuvre
indirectement par les équipes sur le terrain’ ce dîner es étant propriétaires de leur SI et de leur
réseaux.
Les trois axes de planification d'une mission extérieure de l’UE prennent en compte :
Les aspects juridiques, droits externe (article 21, invitation d'un état), ou droit interne (décision de
déployer une mission prise par le gouvernement européen à l’unanimité) légitimeront la mission.
Les aspects financier, en fonction de l'aspect juridique qui régit la mission, du type de personnel
déployé (civil ou militaire), les financements seront différents (Athena pour les opérations militaires,
pris sur le budget de l.UE pour les opérations civiles).
Les aspects opérationnels, les documents qui vont définir la mission (CONOPS / OPLAN) n'ont pas de
valeur juridique, mais néanmoins seront valides par le conseil de l.UE. Dans ces documents seul le
volet SSI est pris en compte.
10
Comment le cyber va-t-il impacter les missions civiles de l’UE ?
Le périmètre et les missions du CERT :
Il agit au profit des agences, institutions et des missions européennes (25 pays, plus de 65
organisations) et couvre 13 secteurs (gouvernement, administration, banques,...). En complément des
missions classiques d'un CERT, le CERT-UE travaille sur les APT (Adanced Persistant Threat).
Pour augmenter l'efficience du CERT, le partage des informations est nécessaire entre tous les
acteurs. Le partage des informations est régit par des règles de confidentialité mixées avec le tempo
des attaques. A ce jour, ce partage, basé sur le volontariat, ne fonctionne pas.
Intervention du CERT-UE dans une opération
Il intervient dans toutes les phases de la mission :
Avant la mission, le CERT édicte à destination des membres de la mission, des règles de bon usage
numérique, ainsi que les POC du CERT-UE en cas d'incident cyber. Il publie également un état de la
menace (capacitaire et technique) dans le contexte de la mission.
Pendant la mission, le CERT-UE assure les missions classique d’un CERT, (repose au incident,
transmission d alerte, partage d’IOC, analyse de log...)
A la fin de la mission, le CERT-UE conduit des débriefings, les exploites aussi bien d'un point de vue
technique et organisationnel, afin d enrichir les bases des connaissances.
Un focus sur les trois groupes qui ont été particulièrement actifs depuis ces 5 dernières années a été
fait. Les groupes en question sont APT 29, SNAKE et APT 28. D’un haut niveau technique, ces
groupes conduisent de nombreuse APT et ciblent les gouvernements, les ministères des affaires
étrangères et de La Défense de nombreux pays européens.
11
NATO MultiNational Smart Defence Project on Cyber Defence
Education & Training
Présentation générale
Le LCL Nunes, occupe un poste OTAN à Lisbonne en tant que chef de projet au département
« Education et entrainement en cyberdéfense ». Au cours de son allocution, il a présenté le projet qu’il
conduit actuellement en présence de 17 nations ainsi qu’avec des partenaires au sein ou en dehors
de l’OTAN et de l’union européenne. Il travaille ainsi, à la création d’une plateforme pour coordonner
la formation et l’entraînement à la cyberdéfense. Sa méthode consiste à identifier les espaces vides
de formation et à y remédier en proposant des solutions.
Comme tout système éducatif, la plateforme proposera un large panel de cours différents de ce qui se
fait actuellement mais aussi des possibilités de s’entraîner et de s’exercer. A cela s’ajoutera un
processus de validation des compétences et des connaissances. Le fil conducteur de ce projet est de
placer systématiquement l’humain au cœur de la cyberdéfense.
Elaboration d’un plan de travail
Pour réaliser sa mission, le LCL Nunes a élaboré un plan de travail réparti sur plusieurs phases :
- tout d’abord, il a recensé les compétences et les qualités requises (état de l’art) ;
- il a ensuite étudié les demandes des différentes organisations nationales pour en décliner une
liste de besoins ;
- il a continué son travail en analysant les offres existantes dans le domaine de l’éducation et
de l’entraînement ;
- il a confronté les offres disponibles et les besoins recensés pour déterminer les lacunes en
matière de formation ;
- il a classé ses espaces vides de formation et leur a attribués une priorité ;
- il a ensuite proposé des solutions pour répondre aux vides existants.
Réalisation du plan de travail
Dès 2006, le LCL Nunes a envoyé un questionnaire à toutes les organisations traitant de l’éducation
et de l’entraînement à la cyberdéfense afin de collecter le plus grand nombre d’informations. Les
réponses obtenues ont permis de débuter un premier travail d’analyse. Il a ensuite poursuivi son
action en identifiant les tâches et sous-tâches liées à la cyberdéfense. Après les avoir classées, il en a
déclinées une liste de compétences et de connaissances à détenir. Il a également pris en compte les
spécificités de chacune des nations ainsi que leur différence de niveaux dans l’appréhension de la
12
cyberdéfense. Tous ces facteurs ont contribué à élaborer des processus destinés à augmenter les
interactions entre les nations au niveau de :
- l’interopérabilité ;
- la coopération ;
- la coordination.
Offres de formation par une approche modulaire
Les travaux du LCL Nunes ont permis d’établir des offres de formation en modules, chacune déclinée
sur trois niveaux différents à savoir, basique, intermédiaire et avancé. Les formations proposées dans
le domaine de la cyberdéfense concernent :
- les utilisateurs au sens large;
- les juristes ;
- les décideurs de niveau stratégique ;
- les spécialistes techniques ;
- les techniciens ;
- les soldats opérant au niveau tactique et dans le cyberespace.
Le schéma ci-dessous récapitule les options proposées.
Cette approche modulaire est très avantageuse car elle facilite la création de nouvelles formations. En
effet, il est alors aisé de faire face à un besoin nouveau ou spécifique en sélectionnant sur étagère les
modules correspondants. Cette approche rend la formation beaucoup plus flexible et mieux armée
pour répondre aux spécificités métiers des nations.
13
Master international en cyberdéfénse et cybersécurité
Le LCL Nunes travaille également sur un projet de master international en cyberdéfénse et
cybersécurité d’une durée d’un an. La cible de cette formation étant les décideurs évoluant au niveau
opérationnel et ayant besoin d’établir des liens avec les niveaux stratégiques et tactiques. Les cinq
modules suivants seront dispensés au cours de la formation :
- organisation de la cybersécurité et cyberdéfénse ;
- sécurité de l’information ;
- les opérations dans le cyberespace ;
- la gestion de crise ;
- projet individuel.
Conclusion
Avant de conclure, le LCL Nunes a rapidement énuméré les différents critères sur lesquels il s’était
appuyé pour conduire son projet. Il espère ainsi avoir établi un programme ambitieux, réaliste et
réalisable. Il a également mis l’accent sur l’innovation qu’il considère comme primordial. Il s’est aussi
efforcé de construire un projet à long terme afin d’éviter les changements rapides et incessants. En
guise de fin, il a évoqué ses maîtres mots dans la conduite de son projet : « penser en dehors de la
boîte et faire simple ».
14
Les composants logiciels pour une plate-forme de formation cyber : de
la conception à la mise en œuvre.
Partant des besoins exprimés et clairement spécifiés par différentes parties (EDA, H2020, CERT-EU,
ENISA, etc.), l’intervenant a essayé de montrer comment pourrait être construite une plateforme de
formation à la cyberconflictualité.
Partant du principe que cette plateforme répondra nécessairement à des besoins globaux,
l’intervenant a supposé qu’elle pourra s’occuper des niveaux technique, tactique et stratégique. Elle
devra bien entendu s’appuyer sur des outils et des méthodes (STIX, cycle des
sense/meaning/decision-making, etc.) déjà existantes ou disposant déjà au moins de briques.
Pour ce faire l’intervenant a identifié 3 composants qui seraient plus ou moins réutilisables. Il s’agit de
KYPO (plateforme d’exercices de Cyber defense développée par les tchèques), SCOTTIE (Simulation
for COunter Terrorism TraIning and Evaluation) et CTIR (Cyber Threat Intelligence Recorder).
En « empilant » des éléments de ces 3 systèmes, il serait possible de simuler toutes les étapes d’une
cyberattaque en passant du stade de l’incident jusqu’à la crise puis sa remédiation. Dans cette
optique, KYPO traiterai plutôt la partie basse du spectre, CTIR l’intermédiaire et SCOTTIE la partie
haute. KYPO s’occuperait du « game rendering » (simulation d’ordinateur, réseaux, cloud, attaque,
etc.) et serait couplé avec CTIR qui caractériserait la menace. Enfin le modèle tactique serait simulé
par SCOTTIE. Cela nécessiterait le développement de modèle de doctrine, l’implémentation des
agents et des outils permettant l’analyse après action.
Cet outil permettrait de considérablement faciliter la formation et l’entrainement des spécialistes cyber
en leur permettant de s’exercer à l’ensemble des actions possibles tout en ayant une possibilité de
rejouabilité des actions. Cela serait donc intéressant autant pour le monde civil que militaire et offrirait
de nombreux débouchés. Cependant ce développement nécessiterait 4 à 5 millions d’euros sur une
période de 2 à 3 ans avec un fort soutien industriel pour déboucher.
15
les outils de formation cyber : l’offre balte
L’intervenant a commencé sa présentation par une présentation du Baltik defence college (BDC), de
ses objectifs et des cours déjà dispensés. Ce dernier est une institution d’enseignement pour les
leaders militaires et civils de hauts niveaux (opérationnel et stratégique) destiné aux 3 Etats baltes
(Estonie, Lettonie, Lituanie) et à leurs alliés. Les cours se déroulent principalement autour de 3
formations longues (7 mois à 1 an) mais se déclinent aussi en petites unités de quelques semaines.
Après cette introduction, l’intervenant a orienté son propos autour des problématiques cyber (en
rappelant que le BDC avait déjà organisé 3 conférences annuelles autour de ce thème). Le principal
problème mis en exergue par les réflexions menées pour intégrer le fait cyber aux opérations
traditionnelles provient de la difficulté à créer la synergie entre les « planificateurs » et les experts du
domaine cyber. Cette difficulté est fille des focus très différents entre ces 2 catégories. Une meilleure
compréhension des objectifs et problèmes de chacun devrait permettre de résoudre ces difficultés.
Pour ce faire, le BDC a listé des connaissances qui devraient être connues par chacun afin de faciliter
la communication et la compréhension. Les planificateurs devraient savoir : 1/ ce qui doit
impérativement être protéger, 2/ pourquoi et comment des infrastructures IT sont vulnérables,
3/comment demander un soutien cyber du niveau stratégique et 4/ quand le demander. Quant aux
experts, ils devraient être familiarisés au processus de planification pour comprendre comment il est
conduit et comment et quand ils peuvent/doivent contribuer.
Constatant cela, le BDC propose d’orienter ses programmes d’études (qui ne sont pas destinés à des
spécialistes) avec les items suivants. Dans un premier temps, il souhaite intégrer un volet cyber dans
tous leurs cours standards. A ce titre des connaissances et compétences basiques seront suffisantes.
Ensuite il souhaite dispenser des cours/sensibilisation avant chaque déploiement. L’intervenant a
alors présenté un point de situation des méthodes mises en œuvre.
Enfin, l’intervenant a terminé en donnant quelques réponses à la question « comment enseigner le
cyber ? » Le premier point passe par une acculturation fondée sur la confiance, les échanges et
l’esprit d’équipe entre les planificateurs et les experts. Le deuxième point passe par le développement
de la motivation en montrant l’apport du cyber tout en recherchant le compromis entre les différentes
contraintes. Enfin les parties prenantes doivent se montrer créatives et flexibles en laissant un certain
« laissez-faire » aux experts.
16
Cyber Situation Awareness Package (CySAP)
L'AED (l'agence européenne de défense. EDA en anglais) a été crée en 2004 et rassemble les 27
Etats membres de l'UE pour un budget de « seulement » 30,5 millions d'€uros.
En terme de cyberdéfense, les 3 domaines d'action de l'AED sont :
- L'entrainement et les exercices en cyberdéfense (exercice Cyber Europe 2016)
- Développement des capacités Cyber de l'UE (ex : développement de stratégie d'utilisation de la
cryptologique pour les Etats)
- Recherche & Développement (Programme « Horizon 2020 »)
Le Cyber Situation Awareness Package (CySAP) vise à observer, orienter, décider et agir dans le
domaine Cyber, afin de.
Les services proposés sont :
- évaluation de la menace
- évaluation des infrastructures
- évaluation dommages / impactes
- continuité de service
- Retour d'expérience
L'objectif est de donner la meilleure vision et la meilleure compréhension possible aux décideurs des
menaces spécifiques et des menaces en temps-réel qui pèsent sur le domaine Cyber et des SIC qui
agissent en soutient direct des opérations réelles. Le moyen est de fournir aux décideurs des outils,
qu'ils soient humains, en terme de procédures ou de plateformes, afin de gérer le risque cyber qui
pèse sur les opérations, que ce soit dès la phase de planification, comme ensuite dans la phase de
conduite. La Cyber Situation Awareness permet à la fonction renseignement d'orienter au mieux le
processus de prise de décision dans le domaine Cyber et autorise ainsi le commandement à
conserver une liberté d'action dans les opérations réelles qu'elles soient terrestres, maritimes,
aériennes ou spatiales.
17
Anticiper par l'écoute des Réseaux et notamment des signaux faibles.
Thalès assure la supervision en matière de sécurité de nombreux systèmes d'information
d'importance vitale, dans tous les milieux (Espace, Air, Mer, Terre).
Or plus les systèmes d'information vieillissent, plus il se pose des problématiques de cybersécurité
pour ces systèmes vieillissant, dont la sécurité n'a pas été pris en compte dès la conception.
Tout comme dans le domaine de la Guerre Electronique, l'offre de Thalès vise à détecter les signaux
faibles électromagnétiques, Thalès propose dans le domaine de la cyberdéfense des solutions de
détection (réseau, cloud...) dont l'objectif est de détecter les signaux faibles, c'est-à-dire les différents
marqueurs qui vont permettre de repérer une attaque, une APT…
De plus en plus on cherche à chiffrer tous nos échanges et notre navigation sur internet. Si le
chiffrement apporte une protection supplémentaire de nos données, il pose aussi des problèmes en
terme de défense notamment, car il contribue à la chute de la visibilité d'internet. Une des solutions
est de développer des outils d'analyse comportemental, car comme le flux chiffré ne peut être lu, on
analyse les comportements anormaux du traffic. Cela permet à la fois de protéger les données et de
repérer les attaques (qui de plus en plus sont elles-même chiffrées).
Cette courbe illustre une situation paradoxale où le prix de la défense ne cesse d'augmenter (coût que
cela représente pour les entreprises de se protéger face aux cyberattaques) et le prix de l'attaque ne
cesse de diminuer (le coût pour les attaquants de se doter de logiciels, de plateformes divers est de
plus en plus faible). Etant donné cette situation où de plus en plus d'entreprise, notamment les PME
n'ont plus les moyens de réellement se protéger efficacement et que le hacking est une activité en
pleine expansion, particulièrement parmi la jeune génération, les américains reconnaissent que c'est
une chance que pour l'instant, encore aucune cyberattaque d'ampleur n'ai eu lieu (ville entière éteinte
et paralysée…) Mais jusqu'à quand ?
Avant de rechercher des failles « zéro day », la priorité reste de patcher toutes les vulnérabilités
connues. Il y a donc une énorme problématique de mise à jour et de maintien en condition de sécurité
(MCS) des systèmes existants, surtout quand certains ne sont plus supportés ni mis à jour par
$
Temps
Prix de la défense
Prix de l'attaque
18
l'éditeur (ex : de nombreux systèmes critiques et donc ne pouvant être stoppés fonctionnent encore
sur des machines tournant sous Windows 3.1 ou NT alors même que ces systèmes ne sont plus
soutenus par Microsoft).
Pour lutter contre des attaques visant ces systèmes, ou détecter des attaques en cours, il faut
disposer des capteurs, des sondes intelligemment et faire remonter tous les signaux faibles de
sécurité. Ceci à l'aide d'algorithme comportementaux, de machine learning, d'analyse big data sur les
logs… Cela permet de lutter contre des attaques très évoluées. Mais cela requière beaucoup
d'alliance et de partage d'information, particulièrement avec les autres CERT de confiance (Computer
Emergency Response Team). Sachant que toutes les informations sur les marqueurs d'attaques ne
sont pas partagés, du moins pas avec tous les tiers (société d'antivirus par exemple..) mais sont
gardés secrètes, au moins un certain temps pour d'une part ne pas rendre immédiatement publique
ces informations et donc informer l'ennemi. D'autre part cela permet de garder une longueur d'avance
sur l'ennemi qui se croit non détecter. Cela permet de pouvoir l'observer, connaître ses modes de
fonctionnement et ainsi trouver une riposte et une contre-attaque efficace.
Conclusion : le renseignement de la « threat intelligence » dans le milieu militaire est vital et est
indispensable pour une vraie défense. Il contribue directement à l'élaboration de la Cyber Situation
Awareness.
19
Compte-rendu d'intervention d'Andrus PANDAR – commander of the
Cyber Defence Unit, Estonian Defence League
L'Estonie dispose de moyens militaires réguliers limités, qu'elle compense par des effectifs de réserve
(totalisant près de 2 % de sa population). Le volet cyber de la réserve Estonienne possède un faible
nombre de volontaires mais se caractérise cependant par la qualité de ces auxiliaires pouvant être
employés dans les domaines suivants :
- réponse à une attaque (passive ou éventuellement active) ;
- soutien (logistique, main d'oeuvre de reconstitution de réseaux, etc...) ;
- prévention (exercices, conseils, audits) ;
L'emploi d'une réserve cyber n'est toutefois pas une réponse miracle, et trouve notamment ses limites
dans :
- le partage des responsabilités qui doit être scrupuleusement défini avant les crises et les
nécessaires habilitations octroyées en amont ;
- l'illusion du coût (ce n'est pas gratuit !) et de la disponibilité des réservistes (qui ont une
activité professionnelle par ailleurs) ;
- l'emploi des réservistes qui doit rester exceptionnel et non pallier une carence des effectifs
réguliers pour les tâches routinières.
20
Active cyber defense
La défense active c'est protéger ses acquis en s’autorisant à le faire avec des moyens offensifs.
La défense active possède une utilité politique car elle permet de mettre l'accent sur la posture
défensive.
La plupart du temps, on insiste sur les difficultés de la défense, or, il faudrait s'intéresser aux limites
de la défense.
Approche clausewitzienne de la Défense en 3 points :
1. posture où l'on attend l'attaque pour la repousser (but négatif) : c'est la posture la moins risquée.
2. La défense n'est pas un bouclier direct: c'est une série de coups habiles portés à l'adversaire.
-> toute défense est active
-> à quels moments il faut mettre en place ces coups
3. L'attaquant a l'avantage quand il peut surprendre la défense. Une attaque surprise ne réussit que si
la défense fait des erreurs.
A partir de ce raisonnement, il est peut être possible de penser la cyber défense de manière
différente.
Il n'y a pas un mais deux cybers espaces :
1. basé sur la difficulté (la bastille) : offense dominent
2. basé sur la réponse à l'attaque : defense dominent
Il existe 4 stratégies défensives :
1. prévoir
2. dissuader
3. bloquer
4. tromper
Une proposition est d'organiser la défense comme un continuum entre :
- architecture
- défense passive
- défense active
- renseignement
- offensif
21
Les partenariats entre organismes de formation et opérateurs, acteurs
publics et privés, militaires et civils
Le Pôle d’excellence de Bretagne s’est implanté dans ce berceau car région historiquement centrée
sur la cyberdéfense avec l’implantation de nombreux industriels (au moins 13 grands industriels) et
des grandes Ecoles (INSA/Telecom/Supelec)). Cette vocation nationale s’accompagne également
d’un développement à l’international.
La philosophie de ce pôle s’articule autour de 3 dimensions :
Besoin de formation adaptée aux menaces grâce aux connaissances duales autour de 2 sujets :
cybersécurité (amont de la catastrophe)
cyberdéfense (action)
On recense actuellement un besoin de renforcement des formations de plus de 40% pour répondre
aux besoins Etatiques et privées d’où cette réflexion d’ensemble.
Prise en compte des réels besoins des industries se basant sur le constat que quelques soient les
formations, les ingénieurs n’utilisent que 50 % de leur connaissance. L’objectif est désormais de 100%
(en prenant en compte les besoins des industriels).
Adapter l’existant pour créer des modules adaptés :
Pour cela, travail dual du mapping de l’existant et des demandes des industriels pour référencer en
cohérence. Création de module de formation adaptée (architecte / forensic) – dvlpp de compétences
en prenant en compte des logiciels industriels différents opensource (université) MEP de
partenariat
Concernant le catalogue de formation, on constate 2 types de cursus :
sur les logiciels,
sur des domaines connexes : robotiques, sciences humaines…
Ces formations ont pour objectif à terme de fournir 40% d’effectifs en plus de manière à répondre à la
demande privée et institutionnelle.
Quelques idées en cours de réflexion:
Réflexion sur l’intégration de la cybersécurité dès la première : STI2D.
Réflexion de pris en compte de la spécialité cybersécurité dès la 2 année.
Programmation sécurisée (prise en compte de la cybersécurité).
Prise en compte du légal/juridique.
Rendre attirant la discipline :
22
Développement du e-learning pour prendre en compte le rayonnement à l’international, en impliquant
les stagiaires étrangers.
23
Intervention de MT Doutriaux, avocate, cabinet DOUTRIAUX-VILAR & Associés
L'intervention de MT Doutriaux cherchait à répondre à la question de la place de la loi dans la
stratégie de l'union européenne de lutte contre la cybercriminalité, la question étant bien de mettre
hors d'état de nuire des acteurs non étatiques aux profils et aux intérêts variés : acteurs privés
poursuivant des intérêts personnels, hacktivistes ou organisation civile mise au service d'un état.
I. Lutte contre la cybercriminalité
Compte tenu du fait qu'il n'y a pas de théâtre "guerrier", la lutte contre la cybercriminalité est bien une
problématique de l'action civile. Elle doit avoir pour objectif la protection des données et des
infrastructures critiques. Elle fait face à un problème juridique associé à la différence de localisation
étatique souvent constatée entre l'attaquant et l'attaqué.
Pour résoudre cette problématique, la convention de Budapest de 2001 permet l'accès aux données
sur les territoires des états signataires lors d'une poursuite judiciaire engagé par un autre état contre
un de ses ressortissants. L'état concerné a la possibilité de refuser, entre autres, s'il considère que sa
souveraineté nationale est engagée.
Afin d'atteindre cet objectif, la directive du parlement européen et du conseil de l'union européenne de
2013 établit des mesures visant à développer la cybersécurité et la cyberrésilience au sein des pays
membres. A titre d'exemple, la France est d'ores et déjà en conformité grâce à la loi de
programmation militaire 2014-2019. La Belgique, quant à elle, ne dispose que d'une directive de 2011
incitant fortement ses entreprises critiques à se sécuriser mais sans imposer aucune contrainte.
II. Particularité de la lutte contre le terrorisme
Afin de lutter contre la propagande terroriste et l'organisation d'attentats via Internet, une résolution du
parlement européen a été adoptée en novembre dernier. Elle incite les états à :
- empêcher la radicalisation ;
- protéger les populations et les infrastructures critiques ;
- poursuivre les terroristes ;
- reconnaître la responsabilité pénale des "géants" d'Internet qui pourraient être considérés comme
des complices donc assimilés aux auteurs.
Dans la même optique, le centre européen de lutte contre le terrorisme devrait voir le jour le 1er
janvier 2016.
En France, c'est une autorité administrative qui prend la décision de retirer le contenu considéré
comme illicite d'un site. Elle encourage également les "géants" du net à divulguer un message positif
contre la radicalisation.
En conclusion, MT Dutriaux nous fait part de ces frustrations sur le traitement de ces problématiques
par l'union européenne. Ainsi, elle constate que les états ont des difficultés à s'accorder et que les
24
pays qui ont ratifié tardivement la convention de Budapest donnent un exemple négatif, ne tendant
pas à valoriser cette démarche.
Les questions qui lui ont été posées lui ont permis de développer les points suivants :
Le juriste ne doit pas interférer dans la technique, de même que le technicien dans le métier du juriste.
Néanmoins, tout deux doivent avoir des connaissances suffisantes du métier de l'autre pour
comprendre et se faire comprendre. La problématique de la collecte des preuves est cruciales.
Le 6 octobre 2015, la justice européenne a invalidé l'accord Safe Harbor qui permettait le transfert des
données personnelles des ressortissants de l'union européenne détenues par les entreprises
européennes vers les Etats-Unis. Cet accord avait été préalablement autorisé par la commission
européenne. Cette décision montre que souvent la volonté de sécurité doit s'opposer à la volonté
d'ouvrir le commerce.
