Assises de la sécurité : en route pour la lutte informatique offensive ?
La question était sur toutes les lèvres, dans l’assistance – très dense – lors de l’atelier animé par Stanislas de Maupéou, transfuge du Certa français vers Thalès : où en est-on en termes de capacité et de doctrine en matière de cyberdéfense offensive ? Officiellement, la réponse est simple : c’est une affaire de militaires et l’action offensive de lutte informatique est, pour des acteurs privés, illégale en France. La réalité semble plus complexe.
C’est un atelier très attendu qu’a animé, jeudi 8 septembre sur les Assises de la sécurité, Stanislas de Maupéou,, ancien chef du centre d’expertise gouvernemental de réponse et de traitement des attaques informatiques (Certa), passé récemment chez Thalès. Le thème ? La cyberdéfense. Comprendre : la lutte informatique défensive. Et l’expert de détailler l’architecture mise en place par le spécialiste de l’armement en la matière. Une architecture complète, intégrant notamment le suivi des conditions de sécurité d’exploitation : « c’est la question du maintien en condition dans le cycle de vie du système ; souvent, on se limite à une validation à un instant donné, avant la mise en production. Mais après, que devient ce système ? » Voilà pour le volet prévention – ou du moins l’une de ses composantes.
De l'analyse des logs à la prise de décision
La suite renvoie à des questions qui, compte tenu de la place de Thalès sur le marché de l’armement, ne manquent pas de susciter le fantasme. Au programme, notamment, logique d’analyse des rapports d’activité des équipements (logs) et de filtrage des alertes techniques pour une remontée aux décideurs des seules menaces opérationnelles. De quoi permettre d’ouvrir les échanges « entre geeks et maîtrise d’ouvrage ; d’avoir une vision unifiée du SI ; d’améliorer la coordination entre DSI et RSSI… » Avec une finalité : permettre une prise de décision rapide. Une brique qui, même présentée dans un contexte d’entreprise, ne manque pas de renvoyer aux réflexions ouvertes, à l’été 2008, par le livre blanc de la défense. De fait, cette seule brique semble parfaitement adaptée pour répondre au premier degré de surveillance technique nécessaire à la cyberdéfense, dans un contexte militaire.
Vupen, l'intrusion pour "les gentils" |
Vupen pratique la sécurité offensive. Mais sans logique de nuisance. Comptant Microsoft, Shell, Sagem, ou encore l'IGN parmi ses clients, cette jeune entreprise française s’est fait une spécialité de l’analyse approfondie des vulnérabilités. En clair, elle s’attache à mettre à l’épreuve la stratégie de sécurité et d’auditer les infrastructures et applications de ses clients pour identifier les maillons faibles. Une démarche de sécurité « offensive complémentaire de la sécurité défensive. » Et qui intéresse : l’atelier de Vupen, aux Assises de la Sécurité, a fait salle comble avec, dans l’assistance, des représentants de la grande distribution, des télécommunications et même de l’Armée. |
Cliquez pour dérouler |
Une dimension qui n’a clairement pas échappé à l’audience, certains interpelant ouvertement Stanislas de Maupéou sur la capacité offensive de la solution de Thalès. Confortant, de manière probablement un peu involontaire, au moins une partie de l’assistance dans son sentiment, l’expert de l’industriel a souligné que la dimension offensive de la cyberdéfense « est totalement inutile si l’on est incapable de faire dans le défensif. » Et de renvoyer aux positions officielles : la lutte informatique offensive, en France reste illégal ; seuls les militaires peuvent y avoir accès ; la réflexion est en cours pour le cadre politique, juridique, tactique, de lutte informatique offensive.
Doctrine militaire : une première étape ?
Une réflexion qui, selon la rumeur, aurait récemment franchi une première étape, notamment dans l’avancement de l’élaboration de la doctrine militaire française sur le sujet. Du coup, la présence d’un représentant de la présidence de la République, dans l’assistance de cet atelier, n’était peut-être pas innocente. Officiellement, il ne serait venu que pour « discuter avec des éditeurs », en marge des travaux de l’Anssi (Agence nationale pour la sécurité des systèmes d'information), mais sans concurrence avec elle. Officieusement, il n’aurait accepté de s’entretenir qu’avec un très petit nombre d’entre eux.