29/09/2015

Quelques notes sur le colloque CyberDef 2015

Le 24 septembre dernier s'est déroulé le premier colloque international CyberDéfense organisé par le ministère de la Défense à l’École militaire, accueillant une vingtaine de délégations de pays membres de l'OTAN, ainsi que du Maghreb et du Golfe.

Le vice-amiral Coustillière, officier général cyberdéfense à l'état major des Armées a tenu à préciser en introduction qu'il s'agissait d'un colloque consacré exclusivement au domaine militaire et non à la cybersécurité, expliquant peut-être qu'aucun responsable de l'ANSSI n'ait été convié comme intervenant en séance plénière.

Conférence conjointe des cyber commandeurs
Crédits: Ministère de la Défense

Le ministre de la Défense Jean-Yves Le Drian, a souhaité rappeler que les enjeux de cyberdéfense n'étaient pas absents des théâtres d'opérations où les armées françaises ont été récemment engagées, relatant que les forces françaises avaient été victimes en Afghanistan d'une attaque cyber qui avait coupé temporairement la liaison entre la métropole et plusieurs drones. Cette exposition des armées au risque cyber a été réitérée tout au long du colloque, et notamment lorsque l'un des intervenants a indiqué que l'exercice interalliés Combined Endeavor avait subit dès le premier jour des attaques cyber provenant de l'extérieur. Dans le domaine de la lutte informatique offensive (LIO) le ministre a pointé comme objectif principal l'intégration du combat numérique aux autres formes de combat, jusqu'à l'appui tactique du combattant. Il s'agit également de recueillir du renseignement pour cibler les capacités adverses, en vue de les frapper. Le ministre a rappelé au sujet du « renseignement cyber » que la DRM avait créé un centre de recherche et d'analyse cyber, et que la DGSE était dotée depuis plusieurs années de moyens propres en la matière. Jean-Yves Le Drian a fixé comme objectif à l'action de cyberdéfense de « tendre à créer les conditions d'une paix numérique ». Il s'agirait sans doute d'un état de paix relatif, puisque les responsables du CALID (Centre d'analyse de lutte informatique défensive) rapportent des attaques quotidiennes contre les réseaux du ministère de la Défense.

Le secrétaire d’État à la défense britannique Michael Fallon a marqué sa volonté de rapprocher les armées britanniques et françaises en matière de cyberdéfense, avec la création d'un groupe de coordination cyber de haut niveau (two-star). A l'instar de la réserve opérationnelle cyberdéfense et de la réserve citoyenne cyberdéfense françaises, M. Fallon a indiqué que le Royaume-Uni avait créé sa propre réserve, la Joint Cyber Reserve.  Le secrétaire d’État a souligné le besoin de développer une culture de « cyber résilience », en premier lieu en ce qui concerne les réseaux gouvernementaux. Cela passe entre autres par la généralisation de meilleurs systèmes d'authentification. M. Fallon a rappelé que la cyberdéfense est un monde d'ambiguité, où il est difficile de désigner ce qui relève ou non d'un acte d'agression.

En séance plénière, Sadie Creese, professeur de cybersécurité à l'université d'Oxford, a abordé quelques points de prospective en matière de cyberdéfense. Elle a notamment estimé que si certaines armes cyber (cyber weapons) étaient particulièrement sophistiquées, la plupart d'entre elles n'ont pas démontré un haut niveau de créativité. S. Creese considère que dans les 10 ou 15 prochaines années, nous assisterons à une créativité accrue dans le développement des attaques cyber, en faisant appel aux ressorts psychologiques des cibles et au social engineering. Elle a également rappelé qu'un certaines armes cyber ne sont pas ciblées et se répandent sur les réseaux avec un niveau de contrôle très variable de la part de leurs concepteurs, au risque de maintenir des exploits persistants sur les systèmes touchés.

Le général de brigade Welton Chase Jr., directeur du C4/Cyber à l'US EUCOM, a pour sa part affirmé l'obsolescence du modèle de la forteresse en matière de cyberdéfense, prônant une organisation inspirée de la cavalerie légère pour mener des opérations de reconnaissance sur les réseaux, basées sur la rapidité d'action et l'échange permanent d'informations avec les autres unités.

Les débats ont bien fait ressortir que les armées conventionnelles ne sont pas toujours en position dominante dans le domaine cyber. Le général Burkhard a précisé qu'il n'y avait pas à proprement parler d'asymétrie entre les armées et leurs adversaires non-étatiques dans le domaine cyber, mais plutôt une dissymétrie, chacun disposant de moyens similaires mais de générations différentes. Plusieurs intervenants ont d'ailleurs comparés les moyens de leurs propres unités cyber à ceux d'acteurs non-étatiques tels qu' Anonymous. Il apparaît encore difficile d'appliquer certains concepts stratégiques traditionnels, tels que la non-prolifération ou la dissuasion, en matière de cyberdéfense. Sadie Creese a souligné que les activités dans le domaine cyber sont particulièrement difficiles à observer et qu'il est notamment impossible de déterminer si un acteur constitue des réserves (stockpiling) de zero-days. Interrogés sur la notion de dissuasion dans le cyberespace, les intervenants ont considéré que celle-ci reste pour l'instant limitée à la coopération entre les acteurs et à des opérations de police (law enforcement) contre les acteurs non-étatiques. Aux yeux du général Chase, c'est l'unité entre les partenaires qui incarne la dissuasion, à l'image de l'unité des pays membres de l'OTAN pendant la Guerre froide.

Au cours des ateliers est ressortie la difficulté de maintenir une discipline de sécurité dans les armées comme dans les entreprises, plusieurs intervenants rapportant que des mauvaises pratiques intempestives subsistent, avec l'introduction de périphériques ou de machines non autorisées sur des réseaux sécurisés. Ils ont souligné qu'il est compliqué d'atteindre un haut niveau de sécurité informatique lors du déploiements des forces, avec le devoir de s'adapter rapidement à un nouvel environnement. En opérations extérieures, il s'agit également de sécuriser des plateformes parfois anciennes, dont la sécurité informatique n'a pas été prévue lors de leur conception.

Bien que le mot ait peu été prononcé, il apparaît que le renseignement est bien intégré aux opérations cyber, avec la nécessité de préparer l'environnement cyber, de mener des reconnaissances sur les réseaux, de caractériser les menaces et d'identifier les capacités adverses. Ces efforts de renseignement sont largement soutenus par l'échange d'informations entre partenaires étatiques et privés, notamment concernant les indicateurs de compromission. Il s'agit également de détecter les comportements anormaux sur ses propres réseaux (profilage) et de rechercher des signaux faibles pour découvrir des vecteurs d'attaque encore inconnus. Les pratiques de piégeage et d'intoxication sont aussi présentes dans le domaine cyber, avec la volonté d'attirer des attaquants pour observer le déploiement de leurs outils et ainsi mieux comprendre leurs modes opératoires. Le besoin d'en connaître et la classification des informations échangées sont aussi importants dans le domaine cyber que dans d'autres champs du renseignement, afin de ne pas exposer des sources ou des vulnérabilités. Les échanges de renseignement cyber sont réalisés avec la contrainte de devoir gérer une grande diversité de partenaires : militaires, organisations gouvernementales et entreprises.

Au cours de la conférence conjointe des cyber commandeurs, le vice-amiral Coustillière a rappelé que les cyber commands sont des créations récentes, réaffirmant l'impératif de partager des informations et des retours d'expériences. Le vice-amiral Coustillère a également annoncé la création d'un forum des cyber commandeurs, visant à réunir tous les six mois les plus hauts responsables de la cyberdéfense pour des échanges informels.

La forte ambition des cyber commandeurs anglo-saxons s'est affichée clairement lors de la conférence par leur volonté d'accroître leur champ d'action et leur rayonnement international. Le général James K. McLaughlin, numéro deux de l'US Cyber Command, a expliqué l'objectif américain d'étendre l'action du Cybercom au-delà du seul département de la défense pour appuyer d'autres branches du gouvernement, ce qui implique de régler préalablement des questions de légalité. Il a aussi exprimé l'importance de partager plus vite des informations avec le secteur privé en matière de cyberdéfense, et donc de pouvoir déclassifier plus rapidement. Son homologue britannique a pour sa part considéré qu'en cas d'attaque cyber, la défense ne doit pas se restreindre à la seule réponse cyber, mais envisager toutes les options du spectre opérationnel (full spectrum). Le général McLaughlin s'est fait l'évangéliste du Cyber Command américain, appelant tous les hauts responsables de cyberdéfense à venir aux États-Unis pour partager des retours d'expérience. Lors de la conférence, la plupart des cyber-commandeurs ont pointé la gestion des ressources humaines comme un enjeu majeur, avec la difficulté de recruter, rémunérer et fidéliser des spécialistes en cyberdéfense de haut niveau. En ce sens, le vice-amiral Coustillière a détaillé la démarche française visant à attirer des spécialistes en début de carrière. Il a précisé qu'il faudra apprendre à renvoyer à la vie civile ces « combattants cyber » au terme de contrats courts de 3 à 6 ans.

Si la plupart des pays invités avaient envoyé leurs plus hauts responsables de cyberdéfense, le grand absent de la conférence fut l'amiral Michael Rogers, directeur de la NSA et commandant de l'US Cyber Command, remplacé par son adjoint le général McLaughlin. Son absence s'explique par son audition devant la commission du renseignement du Sénat américain (US Senate Select Committee on Intelligence – SSCI). L'amiral Rogers est passé sur le grill du SSCI pendant près de deux heures pour défendre son bilan de cyber commander, et pour expliquer comment il envisage la transition de la NSA vers le nouveau cadre législatif du USA Freedom Act.

Le Ministère de la Défense a souhaité faire du CyberDef 2015 un colloque international de premier plan, mobilisant à cet effet l'élite du cyber à la française, comme l'atteste la présence parmi les intervenants et dans l'assistance de hauts responsables de l'EMA, de la DGA, de la réserve opérationnelle et de régiments spécialisés.

Le prochain colloque CyberDefense aura lieu à Londres, fin 2016.

Aucun commentaire:

Enregistrer un commentaire