kwanchaift - stock.adobe.com

Cyberdéfense : après la privatisation du renseignement, celle de la surveillance

Le projet de loi de programmation militaire prévoit de faire des opérateurs de services de communications électronique les yeux et les oreilles de l'Agence nationale pour la sécurité des systèmes d'information. Avec une carotte : l'ouverture de la voie à de nouveaux services.

C’est pour le moins habile. Comment demander aux opérateurs de mettre à disposition de l’Etat des sondes de détection d’activités malicieuses, gracieusement ? Sûrement pas en le leur imposant… Il y a plus alléchant : les autoriser à déployer de telles sondes et ouvrir la voie à de nouvelles sources de revenus, via la création de nouveaux services. C’est l’idée qui semble avoir animé certains contributeurs au projet de loi de programmation militaire présenté ce jeudi 8 février en conseil des ministres.

Ce projet de nouvelle « LPM », pour la période 2019-2025, prévoit ainsi, dans son article 19, « d’autoriser les opérateurs de communications électroniques, pour les besoins de la défense et de la sécurité des systèmes d’information, à mettre en place des dispositifs permettant, à partir de marqueurs techniques, de détecter les événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés ».

Un super-réseau d’informateurs gratuits

En somme, il s’agit de leur permettre de déployer l’équivalent de systèmes de détection/prévention d’intrusion (IDS/IPS) sur leurs infrastructures, pas pour protéger leurs systèmes d’information, mais pour détecter des menaces susceptibles de concerner leurs clients. A la clé, on l’imagine bien, la possibilité d’offrir de nouveaux de sécurité, lesquels ne manqueront pas de contribuer à améliorer la rentabilité des tuyaux des opérateurs.

Cette disposition renvoie à l’évolution législative qui a eu lieu l’an dernier en Allemagne et dont Dr Matthias Rosche, vice-président senior, ventes et conseil solutions de Deutsche Telekom, se félicitait à l’occasion de l’étape européenne de la conférence CPX de Check Point : « nous aurons avec elle beaucoup de latitude pour protéger nos clients ». Nos confrères de NextInpact évoquaient à l’automne dernier les projets d’Orange en la matière.

Mais cette soudaine souplesse législative n’est pas sans arrière-pensée. Ainsi, le projet de LPM, dispose que l’Agence nationale pour la sécurité des systèmes d’information (Anssi) pourra « demander » aux opérateurs d’exploiter leurs sondes, « en recourant le cas échéant, à des marqueurs techniques qu’elle leur fournit ». Surtout, les opérateurs devront informer « sans délai » l’agence de la découverte « d’événements susceptibles d’affecter la sécurité des systèmes d’information ». Exceptionnellement, en cas de menace sur les SI d’autorités publiques ou d’OIV, l’Anssi pourra également s’inviter chez les opérateurs – ainsi que les hébergeurs et les intermédiaires techniques – pour y déployer au besoin ses propres sondes, avec ses propres règles de détection, « pour la durée et dans la mesure strictement nécessaires à la caractérisation de la menace ».

De nombreuses zones d’ombre

En fait, avec ces dispositions, les opérateurs volontaires seront appelés à constituer un réseau d’informateurs aux ramifications très étendues. Mais cela ne va pas sans soulever de nombreuses et importantes questions. La première d’entre elles touche à la qualification de la notion d’événement « susceptible d’affecter la sécurité la sécurité des systèmes d’information »… Cela recouvre-t-il par exemple des tentatives d’injection SQL sur un système de gestion de contenus en ligne et autres opérations dites de reconnaissance ? Si l’Anssi veut prendre le risque de se transformer en super SOC national, elle risque vite de ratisser trop large pour ses capacités de traitement.

Et quid des règles de détection déployées à sa demande ? Seront-elles toutes confidentielles ? Et si certaines ne le sont pas, pourquoi ne pas tout simplement communiquer largement, publiquement, et ouvertement à leur propos pour aider le plus grand nombre ? Cette question vaut aussi pour l’information des abonnés des opérateurs : le projet de LPM est ambigu sur ce point. Il dispose que « à la demande de l’autorité nationale de sécurité des systèmes d’information, les opérateurs de communications électroniques informent leurs abonnés de la vulnérabilité ou de l’atteinte de leurs systèmes d’information ». Mais dans quelle mesure peuvent-ils le faire de leur propre initiative ? Et avec quel niveau de détail ?  Et pour quels types d’indicateurs ?

Une privatisation de plus

Pour Marc Rees, chez NextInpact, le projet de LPM « flirte avec la boîte de Pandore » à de nombreux égard. Outre les nombreuses questions qu’il peut poser en termes de vie privée ou neutralité du Net, il marque une nouvelle étape dans la privatisation de la cyberdéfense, après celle du renseignement.

Le général d’armée (2S) Marc Watin-Augouard, l’expliquait d’ailleurs il y a un peu plus d’un an : « dans l’espace numérique, comment voulez-vous que la puissance publique rivalise avec des offreurs de sécurité qui ont des milliers de sondes déployées à travers le monde et qui sont capables, à un instant donné, de produire, par exemple, une cartographique précise de toutes les cyberattaques dont ils sont eux les témoins ? » La logique du projet de nouvelle loi de programmation militaire n’apparaît pas bien différente.

Pour approfondir sur Cyberdéfense