*Ceci est un texte expliquant et résumant le rapport Bockel*
Le but de ce rapport était de dresser un état des lieux actuel de la cybercriminalité, tant sur le plan national qu’international. Cet état des lieux a permis de dresser une liste de préconisations qui pourraient être mises en œuvre afin de mieux préparer les structures nationales en cas d’attaques informatiques.
Le problème de ce rapport est qu’il comporte non seulement quelques approximations sur le plan technique mais qu’il entend procéder à une sorte de régulation en donnant de nombreux pouvoirs à l’ANSSI, sans qu’aucune coopération avec d’autres institutions nationales ne soit organisée. Explications de texte.
Etats des lieux des menaces
Les rédacteurs du rapport commencent par s’émouvoir du fait que la Présidence de la République n’ait pas procédé à une communication lorsqu’elle a subi des attaques (p.8). Il convient de souligner que rien – légalement – n’oblige une institution ou une structure à communiquer sur une attaque informatique, à l’exception des fournisseurs d’accès.
Dans la première partie, les rédacteurs soulignent que les attaques informatiques sont moins coûteuses, moins risquées et plus discrètes que des attaques physiques (p.11). Là encore il faut relativiser : certaines infractions informatiques sont très lourdement punies et peuvent coûter très chères selon la complexité de la technique. Par ailleurs, il est indiqué que les attaques informatiques se complexifient de jours en jours, ce à quoi il est possible de répondre que la criminalité, en général, se complexifie de jours en jours.
Le rapport poursuit avec l’exemple de la grande attaque de dénis de service subie par l’Estonie en 2007 et semble essayer de créer une sorte de peur, sur ce qui peut arriver lorsque l’on déploie du numérique dans les services administratifs. Plutôt que d’agiter le chiffon rouge, on peut aussi prendre l’exemple estonien comme une démonstration : celle de prévoir les scénarios possibles en cas d’attaques et les mesures applicatives (p.13).
Après l’Estonie, le focus est fait sur Stuxnet, qui est qualifié de virus, alors qu’il s’agit d’un ver. Toute la lumière n’est pas faite ni sur Stuxnet, ni sur Flame. Il aurait peut-être mieux valu ne pas se référer à ces exemples, surtout si cela incrimine d’autres Etats (p.15-p.17).
C’est ensuite la France qui est passée au crible et le rapport se focalise sur les vulnérabilités des systèmes, tout en oubliant que le facteur humain est la première faille de sécurité dans un système informatique (p.18). Les exemples données ultérieurement montrent que si certaines attaques ont pu avoir eu lieu, c’est parce qu’il y a une négligence humaine (p.21). Le rapport omet d’ailleurs de souligner que ces négligences pourraient facilement être limitées si les gens étaient suffisamment formés et informés (p.29). Les rédacteurs poursuivent en confondant allégrement les hackers avec les script-kiddies (p.19). La partie profil des attaquants procède également à une joyeuse confusion des genres (p.32-34).
Dans la typologie des différentes menaces, le rapport a l’intelligence de souligner que l’une des problématiques actuelles réside dans la mobilité ainsi que dans le cloud computing. De la même manière, elle concède que les hypothèses de cyber-guerre restent assez extrêmes (p.35).
La vision de la criminalité internationale, notamment l’analyse faite de la Chine reste assez hasardeuse, pour ne pas dire partielle. Incriminant sans complexe les fameux « hackers Chinois », le rapport omet de souligner une des raisons de ce problème : la censure du réseau. Habitués à surfer sur un Internet bridé, les internautes Chinois savent parfaitement contourner certaines règles de sécurité, plus facilement qu’un internaute qui a accès à un Internet totalement ouvert.
Les menaces informatiques à l’international
Le rapport fait un état des lieux de ce qui est fait aux USA, au Royaume-Uni et en Allemagne, en mettant l’accent sur les moyens déployés, tant sur le plan humain que sur le plan financier. En effet, aux USA, entre 2010 et 2015, 50 milliards de dollars et plusieurs dizaines de milliers d’agents seront dédiés à la question de la cybersécurité. Au Royaume-Uni, le Premier Ministre David Cameron a alloué un budget de 750 millions d’euros permettant de mener une stratégie ad hoc sur la question de cybercriminalité. Il est estimé qu’environ 700 agents s’occupent des questions relatives à la cyberdéfense. Enfin, en Allemagne, l’organisme chargé de veiller à la sécurité des systèmes d’information dispose d’un budget de 80 millions d’euros et de plus de 500 agents (p.38-52).
Le rapport souligne l’avancée de ces Etats en matière de sécurité informatique mais oublie de mentionner qu’aux Etats-Unis, les acteurs publics et privés sont dans l’obligation légale de communiquer sur les attaques de sécurité qu’elles ont subi et ce, depuis 2002 (p.44).
De la même manière, un silence pudique est jeté sur la potentielle raison du déploiement du plan relatif à la sécurité informatique au Royaume-Uni, à savoir le scandale de News Of The World, impliquant des journalistes, des politiques, des industriels (p.45).
Par ailleurs, le rapport énonce que l’administration fédérale Allemande n’a subi aucune attaque informatique depuis 2005, fait qu’il conviendrait de vérifier (p.51).
Le rapport est très riche en ce qui concerne les relations internationales, notamment les attitudes schizophrènes de la Chine et de la Russie en ce qui concerne la sécurité informatique (p.57). Il insiste sur le fait que la France doit être une partie prenante à part entière dans le centre d’excellence sur la cyberdéfense (p.62) ce qui paraît une bonne idée, tant sur le plan stratégique que sur le plan diplomatique.
La partie consacrée aux freins à la coopération internationale souligne les lacunes actuelles et constitue une bonne synthèse (p.67).
Les lacunes françaises
Le rapport poursuit en faisant un retour en arrière sur les anciens rapports et les textes ayant permis la création de l’Agence Nationale de la Sécurité des Systèmes d’Informations (ANSSI) (p.68-87).
Il propose notamment d’inclure de façon obligatoire une formation à la sécurité des systèmes d’informations, ce qui est une très bonne idée lorsque l’on sait qu’il n’existe que très peu de formations initiales incluant un cursus complet et approfondi sur ce sujet (p.78).
La super ANSSI ?
C’est cette partie qui semble être la plus loufoque du rapport. Il détaille toutes les prérogatives dont devraient être dotées l’ANSSI, notamment la labellisation de produits et de services de sécurité (p.90-91), ce qui soulève deux questions : avec quel argent, dans la mesure où l’ANSSI est une institution publique et, quels seront les critères d’obtention d’un label pour un service de sécurité ? Quel cahier des charges un développeur devra remplir pour obtenir un label de l’ANSSI et dans quelle mesure les infrastructures seront obligées de recourir à des solutions de sécurité labellisées ? Par ailleurs, dans la mesure où le rapport prévoit de pourvoir l’ANSSI d’un pouvoir de sanction, quelles seront les sanctions pour les administrations qui n’auront pas eu recours à une solution de sécurité labellisée et qui seraient confrontées à une attaque ? (p.91) Enfin, à quel prix serait mis à disposition les solutions de sécurité labellisées car si les administrations doivent en être dotées, il faut qu’elles aient les moyens financiers de se doter du système jugé ad-hoc par l’ANSSI et qu’elles reçoivent une formation, comme indiqué (p.92).
Dans la série des obligations, il est proposé que chaque Ministère procède à une cartographie complète de son réseau informatique (p.93). Cela relève du bon sens et si une DSI est consciencieuse, elle procède déjà à ce type de cartographie.
Le rapport poursuit en proposant que l’ANSSI se voit pourvue de missions qui non seulement existent déjà mais qui sont exécutées par des acteurs du secteur privé, notamment par les éditeurs d’anti-virus. Par ailleurs, ce type de missions demande un budget très important, ce qui explique pourquoi ces missions de recherche sont effectuées par des éditeurs de solutions de sécurité privées (p.95).
L’autre point dérangeant réside dans la non-information. En effet, si l’ANSSI en version augmentée serait l’autorité chargée de recueillir toutes les informations relatives aux failles de sécurité, avec obligations des structures publiques et privées de le lui notifier, les internautes et utilisateurs ne seraient pas informés des dites failles, ce qui risque de contrevenir à un projet de directive communautaire qui souhaite copier le système américain en la matière (p.101).
Le rapport se propose de créer des assurances particulières pour les attaques informatiques, ce qui pourrait être une bonne chose mais qui risquerait d’augmenter considérablement le coût des polices d’assurances, déjà élevées dans certains corps de métiers (p.102).
Les rédacteurs proposent également que des évènements et des associations soient créés afin de réunir tous les acteurs de la sécurité informatique au niveau national (p.102-105). Idée louable qui existe déjà ainsi qu’en atteste le Club des DSI, Hack In Paris, le SSTIC ou encore le CLUSIF ou encore le salon Solutions Linux et Open Source.
Le rapport se propose d’essayer d’inclure la communauté des hackers en France, communauté estimée à environ 4000 personnes (p.109), chiffre que personne ne semble être en mesure de justifier d’une façon ou d’une autre.
L’autre point rigolo est l’exemple de charte informatique qui devrait être donnée aux salariés (p.112), charte intéressante sauf que le rapport oublie de souligner que cela existe déjà et que de très bons exemples sont disponibles sur le site de la CNIL.
Enfin, le rapport se propose d’interdire les équipements réseaux en provenance de Chine, au niveau national et communautaire. Idée charmante sauf qu’elle peut aussi s’interpréter comme une entrave à la libre circulation des marchandises. Par ailleurs, rien n’est indiqué sur le processus de vérification des équipements, qui peuvent très bien être assemblés dans un pays quelconque mais dont les pièces proviendraient de Chine (p.118).
En résumé, l’idée de ce rapport est de créer une super Agence qui serait dotée de beaucoup de prérogatives, notamment d’un pouvoir de sanctions, créant des obligations pour des structures privées et publiques, sans aucune tutelle, donc sans compte à rendre à qui que ce soit. Aucune prévision budgétaire n’a été indiquée dans le rapport, ce qui, en période de rigueur, est inquiétant. Par ailleurs, certains passages s’apparentent clairement à une nationalisation des services de sécurité informatique, ce qui est tout, sauf une bonne chose. Certaines idées sont pertinentes mais dans la mesure où certaines propositions sortiraient du cadre public pour impacter directement les structures privées, on sort complètement du cadre libéral.
Enfin, il est très dommageable que le rapport omette les contributions d’autres services comme le BEFTI ou le STRJD ou encore la CNIL. Pire encore, aucune mention n’est faite d’une quelconque collaboration entre ses différents services qui certes n’ont pas les mêmes missions, mais dont les actions peuvent être complémentaires. Par ailleurs, certaines ingérences risqueraient clairement d’empiéter sur les cœurs de missions de ces institutions publiques, risquant de leur faire perdre une partie de leur budget, déjà bien réduit.
Ajouter un commentaire