Sébastien Léonnet SGC/DGA5/Unité Sécurité des SIC-Sensibles

Sébastien LéonnetSGC/DGA5/Unité Sécurité des SIC-Sensibles

UNION EUROPEENNE ET SSI:LES DEFIS DE DEMAIN

DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet

Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil

• Le nouveau règlement de sécurité du Conseil de l’UE: une avancée majeure. Vers un règlement de sécurité commun aux Institutions ?

• Mise en place d’une capacité en défense des réseaux au Secrétariat Général du Conseil de l’UE.Vers une capacité globale aux Institutions ?

• Interopérabilité entre les Institutions, les Etats membres et les pays tiers.

PLAN






PLAN



La décision du Conseil du 19 mars 2001 adoptant le règlement de sécurité du Conseil (2001/264/CE).Historique: adapté de celui l’UEO lui-même adapté de celui l’OTAN (80-90). Règlement suffisant pour une organisation débutante mais:

• très peu d'éléments relatifs au monde de la technologie de l'information (section XI, 9 pages sur 66 alors qu’aujourd’hui 99% de l’information est sous forme électronique);

• des inconsistances (ex: delta gestion R-UE IT et papier, chiffrement des transmissions:« Pendant la transmission, la confidentialité des informations SECRET UE ou d'un niveau de classification supérieur doit être protégée par des méthodes ou des produits cryptographiques agréés par le Conseil sur recommandation du Comité de sécurité du Conseil. Pendant la transmission, la confidentialité des informations CONFIDENTIEL UE ou RESTREINT UE doit être protégée par des méthodes ou des produits cryptographiques agréés soit par le Secrétaire général/Haut représentant sur recommandation du Comité de sécurité du Conseil, soit par un État membre. »);

Le nouveau règlement de sécurité du Conseil de l’UE: une avancée majeure. Vers un règlement de sécurité commun aux Institutions ?



Règlement suffisant pour une organisation débutante mais:

• des rigidités incompatibles avec la réalité opérationnelle (ex: pas d’autres choix que les zones de protection de catégorie I et II);

• pas d'ouvertures à dérogations (problématiques systèmes en environnement de crise – aspects TEMPEST);

• si la notion de risque est pensée au travers de la rédaction des SSRS (analyse de risque), la notion de gestion du risque est quant à elle inexistante;




Règlement suffisant pour une organisation débutante mais:• des éléments organisationnels inexpérimentés comme

inefficaces:– la structure INFOSEC n'a qu'un lointain rôle de conseiller et

d'aide à la mise en œuvre;– l'autorité d'homologation a un rôle décisionnel mais elle prend

ses décisions davantage sur la constitution d'un dossier d’homologation que sur le fond du dossier (SSRS, SecOPs);

– la responsabilité du développement de la documentation de sécurité et du maintien en condition opérationnelle des systèmes revient à la partie opérationnelle utilisatrice (ITSOA):« Pour tous les SYSTÈMES qui traitent des informations CONFIDENTIEL UE ou d'une classification supérieure, un énoncé des impératifs de sécurité propres à un SYSTÈME (SSRS) doit être établi par l'autorité d'exploitation du système TI (ITSOA)… »« L'autorité INFOSEC délègue le plus rapidement possible à ITSOA la responsabilité de la mise en œuvre des contrôles et du fonctionnement des dispositifs de sécurité spéciaux du SYSTÈME. Cette responsabilité est exercée pendant tout le cycle de vie du SYSTÈME, de la conception du projet à sa liquidation finale. »

ce qui fonctionne mal;




Et finalement …un règlement très insuffisant au regard des enjeux du Conseil (45 systèmes et applications classifiées).

Notre organisation initiale était calquée sur ce règlement mais en septembre 2005 elle a été radicalement refondue – entre autres – afin de tenir compte des problèmes organisationnels que posaient le règlement de sécurité. Pour rappel, elle est centralisée autour de 5 pivots:

• le coordinateur des SIC-Sensibles (celui qui décide la constitution des systèmes classifiés);




Pour rappel, elle est centralisée autour de 5 pivots:

• l’autorité d’homologation (celle qui prend la responsabilité de la mise en production opérationnelle des systèmes classifiés);

• le bureau INFOSEC (en charge des politiques INFOSEC régissant les grands principes à appliquer, conseils et liens avec les EMs);

• l’Unité sécurité des SIC-Sensibles (INFOSEC opérationnel) en charge:– de la rédaction de l’ensemble de la documentation de sécurité

« système » (SSRS, SecOPs, guides de paramétrage, etc.); – de la gestion/administration des aspects cryptographiques et

TEMPEST,– de l’opération de la NDC;– de l’audit des systèmes avant homologation.

• le « Sensitive-CIS Manager » (autorité représentant les utilisateurs et garante de l’application des SecOPs).




L’organisation en place donne satisfaction. Elle est figée dans le document « Organisational Framework for The Security of Sensitive-CIS ».




Le nouveau règlement de sécurité du Conseil:• En cours de ratification;• Historique: deux années de travail avec les EMs;• Des changements en adéquation avec la très récente famille

de standards 2700X (principalement 27005):• révolutionnaire parce que « EU made », au moins dans le

domaine « technologie de l’information »;• révolutionnaire parce qu’il a fait l’objet d’un rapide consensus

des NSAs)• révolutionnaire parce qu’il permet des dérogations

« maîtrisées »: « Where warranted on specific operational grounds, the Council or the Secretary-General as appropriate may, upon recommendation by the Security Committee, waive the requirements under paragraphs 25 or 26 and grant an interim approval for a specific period… »;




Le nouveau règlement de sécurité du Conseil:• révolutionnaire parce qu’il prend en compte les contraintes

opérationnelles (ex: « EUCI may be transmitted using cryptographic products which have been approved for a lower classification level or without encryption with the consent of the competent authority if any delay would cause harm clearly outweighing the harm entailed by any disclosure of the classified material and if: (a) the sender and recipient do not have the required encryption facility or have no encryption facility; and (b) the classified material cannot be conveyed in time by other means.»;

• révolutionnaire parce qu’il prend en compte la réalité des faits sur le plan organisationnel. Les autorités, comme leur rôles sont décrits dans les détails:

– l’ « Information assurance authority »;– la « Security Accreditation Authority »;– l’ « Information Assurance Operational Authority »;– la « Crypto Approval Authority »;– la « Crypto Distribution Authority »;




Mais malheureusement révolutionnaire aussi parce qu’il surestime les capacités actuelles UE sur le plan du développement de solutions « produits cryptographiques »:

• “25. Cryptographic products for protecting EUCI shall be evaluated and approved by a national CAA of a Member State.”;

• “26. Prior to being recommended for approval by the Council or the Secretary-General in accordance with Article 10(6), such cryptographic products shall have undergone a successful second party evaluation by an Appropriately Qualified Authority (AQUA) of a Member State not involved in the design or manufacture of the equipment. The degree of detail required in a second party evaluation shall depend on the envisaged maximum classification level of EUCI to be protected by these products. The Council shall approve a security policy on the evaluation and approval of cryptographic products.”;

Mais l’idée est belle car c’est bien évidemment dans ce sens qu’il faut aller...




Le cas du SGC semble réglé, mais qu’en est-il des autres Institutions et agences:

• la Commission a son propre règlement de sécurité, dérivé lui aussi de celui l’OTAN des années 80-90. Il est donc aujourd’hui très différent de celui du Conseil;

• le Parlement Européen n’a pas de règlement de sécurité;

• l’Agence Spatiale Européenne a son propre règlement de sécurité, très différent de celui du Conseil et de la Commission;

• L’Agence de Défense Européenne applique le règlement de sécurité du Conseil;

• FRONTEX: Applique le règlement de la Commission.




Difficile dans ces conditions d’imaginer des règles « Information Assurance » communes. Mais le problème est clairement posé avec la constitution de l’EAS, composé des EMs, de la RELEX (Cion) et d'entités du Conseil (EUMS, CPCC, DGE, Unité politique, SITCEN). Quel règlement de sécurité choisir: le nouveau règlement du Conseil ? le vieux règlement de la Commission ? Créer un règlement ad-hoc ?

Durant la période de transition (2014) le règlement de l’EAS est le règlement du Conseil. Mais après cette date l’EAS est souveraine.







PLAN



Cyber-attaques, cyber-Défense, défense en profondeur… Des mots très à la mode depuis ces récentes dernières années, comme si on découvrait subitement la "cyber-nuisance"…Mais est-ce bien nouveau ? Ou plutôt, qu'est ce qui est nouveau ?

• Certes, le crime organisé (marché des Botnets, spam, etc.)…

• certes, le marché du renseignement…• certes, la cyber-guerre (Estonie, Georgie)…

Mais on aurait pu s’en douter; ou… On ne voulait pas savoir…

Mise en place d’une capacité en défense des réseaux au SGCVers une capacité globale aux Institutions ?



Ce qui est vraiment nouveau c’est en revanche:• la sophistication des attaques et leur caractère

« ciblé »;• la notion de « Advanced Persistence Threat »;• l’association « worldwide » de malfaiteurs;• que les plus grandes organisations

reconnaissent aujourd’hui l’ampleur et l’importance du problème;

• que les plus grandes organisations sont aujourd’hui (presque) transparentes face à ces problèmes (Pentagone, OTAN, certains pays… SGC), au moins parce qu'elles peuvent être elles-mêmes vecteurs d’infection;




Ce qui est vraiment nouveau c’est:• que les grandes organisations apprennent à

vivre avec ces nouvelles attaques:– il n’y a pas de solutions miracles contre les attaques

en dénis de service; – on n’est jamais certain de l’origine des e-mails; – on ne pourra jamais empêché un utilisateur de

cliquer sur un lien ou une pièce jointe (souvent légitime mais piégée);

– par définition, les anti-malware ont toujours un « coup de retard »;

– il est presque impossible d’interdire les clés USB;– il est illusoire de penser être totalement protégé

(univers des vulnérabilités).




Les grandes organisations ont aujourd’hui atteint ce niveau de maturité INFOSEC tel qu’elles ne considèrent plus comme « honteux » ou « dégradant » d’être l’objet de cyber-attaques.

Elles ont aussi compris – à l’instar des cyber-attaquants – que la coopération faisait la force.

Le SGC a atteint ce niveau de maturité il y a deux ans, date à laquelle il a décidé d’être transparent vis-à-vis des EMs et de mettre sur pied une NDC.




Mais au fait… C’est quoi une NDC ? On s’est longtemps interrogé et après plusieurs visites de NDC existantes on a retenu:

• qu’une NDC était un moyen de prédire des problèmes informatiques et réseaux;

• qu’une NDC était un moyen de lutter contre les problèmes informatiques et réseaux;

• qu’une NDC était un moyen de restaurer une configuration « de confiance »;

• qu’une NDC était un moyen de diffusion d’alerte;• qu’une NDC était un moyen de recueil d’information;• qu’une NDC était un moyen de génération d’information;

Bref, une NDC, c’est un peu comme une PKI: 20 % de technique et 80 % d’organisationnel.




Problèmes structurels:• collecte des compétences: une NDC requiert

différents corps de métier (réseau, monde Unix, monde Windows, applicatif, base de données, forensic, analyse software, etc.);

• intégration des compétences techniques: toutes les compétences ne doivent pas nécessairement être allouées à la NDC mais elles doivent toutes être disponibles pour la NDC;

• intégration de la NDC dans l’organisation: une NDC n’est pas une entité indépendante et autonome; elle doit s’imbriquer dans les unités techniques, politiques, sécurité et renseignements.




La NDC du SGC est composé de trois niveaux:• le niveau d'alerte;• le niveau de gestion opérationnelle;• le niveau stratégique;

• Le niveau d'alerte regroupe l'ensemble des entités propres à signaler un incident ou une présomption d'incident: les équipes de veille NDC, les administrateurs systèmes, les utilisateurs, les EMs, les outils techniques et de sécurité en place ou encore les équipes d'audit.




Le niveau de gestion opérationnelle (aussi appelé NDC-OC) regroupe:

• la mise en place, la gestion et la supervision d'outils d'analyses et d'alertes informatiques et réseaux (SIEM, analyseurs de logs, IPS, IDS, anti-malware, etc.);

• la définition des procédures de gestion des incidents de sécurité et la participation à la gestion de ces procédures en liaison avec les différents acteurs de sécurité ainsi que les parties extérieures concernées (EMs, Institutions UE, etc.);




Le niveau de gestion opérationnelle (aussi appelé NDC-OC) regroupe:

• la recherche de vulnérabilités, de comportements suspects, de portes dérobées ou d’activités type « reverse engineering » puis la mise en place de contre-mesures et de plans de désinfection;

• la participation à la diffusion de l’alerte;• la participation à des enquêtes au profit du

Bureau de Sécurité;• l’établissement de contacts avec des CERTs;• la diffusion de bulletins d’alerte aux acteurs

concernés (niveau stratégique).




Le niveau de gestion stratégique (aussi appelé NDC-CC) prend la forme:

• d’un comité directeur composé des principaux acteurs de la sécurité ainsi que des organes décisionnels: Directeur général pour la sécurité, sûreté et systèmes d’information et de communication, Coordinateur des SIC-Sensibles, Autorité IA, Autorité opérationnelle IA, Directeur du Bureau de Sécurité;

• d’une cellule de coordination.

Il a les responsabilités suivantes:• il prend connaissance des menaces et évalue les risques;• il décide des stratégies et postures à adopter face aux

menaces;• il opère le réseau de diffusion de l’alerte « hors GSC »: il

décide de diffuser l’alerte aux EMs et autres Institutions au travers du réseau de diffusion de l’alerte;




Vers une capacité globale aux Institutions ?

• Dans le domaine, maturités très hétérogènes au sein des Institutions/agences;

• Institutions/agences trop indépendantes les unes vis-à-vis des autres;

• pas de réels besoins (pas de systèmes partagés et aucune interconnexion);

En revanche besoin d’un CERT au profit des Institutions/agences afin d’alimenter les NDC. Des initiatives en vue de sa création sont en cours.







PLAN



Problématique au travers d’un exemple: l’opération ATALANTA.

• Chaîne de responsabilité discontinue:– Bruxelles OHQ– OHQ – FHQ– FHQ – Navires

• nation cadre du FHQ tournante tous les 4 mois;

• FHQ embarqué;• Forces non EU.

Interopérabilité entre les Institutions, les Etats membres et les pays tiers



PSC – EUMC – EUMSBruxelles

OHQNorthwood

FHQEmbarqué

CTF 150Bahrain

OTAN SNMG2

FHQ –RDjibouti

EU

UK

FHQ




ATALANTAUnits

ATALANTA FHQ

CTF 150CTF 151

CTF 508International

Units


Sébastien LéonnetSGC/DGA5/Unité Sécurité des SIC-Sensibles

UNION EUROPEENNE ET SSI:LES DEFIS DE DEMAIN

Documents

Sébastien Léonnet SGC/DGA5/Unité Sécurité des SIC-Sensibles