Enjeux et stratégie de l’arme cyber – Partie 1 : les définitions cyber

Par Franck Cecile – TheExpert Cybersécurité Squad

Lutte Informatique Offensive, Cyberattaques, Contrôle de l’Information… Tous ces sujets font de plus en plus régulièrement l’actualité et façonnent petit à petit notre monde, sans que l’on ne s’en rende forcément compte. Tous contribuent à la mise en œuvre de ce que l’on appelle communément la Cyberguerre – ou guerre du futur – à travers une nouvelle arme, encore relativement méconnue ou incomprise du grand public, l’Arme Cyber. Mais de quoi s’agit-il exactement ? Qui l’utilise, comment, pour quel impact, sur quelles cibles ? Quels avantages stratégiques, économiques, ou militaires permet-elle d’obtenir ? Comment se structure le monde face à cette nouvelle menace ? Et quel impact cela peut-il avoir sur nos vies ? Mais par-dessus tout, en quoi sommes-nous concernés, en tant que particuliers ?

Ce sont les questions auxquelles nous tenterons d’apporter des éclaircissements et des débuts de réponses à travers ce dossier – il serait prétentieux de penser que le sujet peut être présenté et compris dans son intégralité, tant celui-ci est récent et en pleine évolution, et ses enjeux, variés . D’abord en nous intéressant aux faits pour dresser un état de la situation actuelle. L’objectif sera de mettre en exergue les sources de risques et d’identifier les potentielles menaces véhiculées par cette nouvelle arme. On s’intéressera ensuite aux tendances pour essayer d’entrevoir comment pourraient se dérouler les choses, et quels sont les événements à redouter. Enfin, nous tenterons de lister un certain nombre de proposition d’améliorations, visant à mieux nous protéger de ces nouvelles menaces.

Mais avant de rentrer dans le cœur du sujet, clarifions le sens des termes que nous allons utiliser.

Que signifient vraiment les termes cyber ?

Depuis maintenant une décennie, le terme cyber revient régulièrement sur le devant de la scène. Cyberespace, cyberattaque, cyberdéfense, cyberguerre…. Des termes évoquant souvent des confrontations menées dans un espace virtuel. Pour autant, nombre d’experts du domaine maitrisent encore mal ces différents termes, et rares sont ceux capables de les expliquer dans le détail. Le terme cyber est repris à tort et à travers, et est accolé à plus ou moins n’importe quel type d’activité pour susciter l’intérêt et flatter l’égo. Tous ces termes restent cependant liés à une activité : la Sécurité Numérique.

Qu’est-ce que le monde cyber ?

L’étymologie du terme « Cyber » signifie « gouverner ». Cela ne nous en dit guère plus sur ce dont il s’agit, et il est plus pertinent de s’intéresser à ce qui le compose. Le Cyberespace est un environnement virtuel composé de biens matériels (des équipements informatiques) qui traitent des biens immatériels (des Informations ou des Opérations Numériques).

Un équipement ou un système est considéré comme Informatisé – donc soumis au Risque Cyber – si une modification de son comportement nominal est modifiable via une couche logique (c’est-à-dire « programmable »). Par exemple :

  • Une porte avec une poignée mécanique nécessite obligatoirement une action manuelle pour être ouverte. Aucun composant informatique ou carte électronique ne peut déclencher l’ouverture. Ceux-ci n’appartiennent donc pas au cyberespace.
  • En revanche, un aspirateur autonome, pouvant être contrôlé à distance (notamment ceux au travers d’internet), peut être la cible (ou à l’origine) d’une attaque informatique : une modification de son programme est possible, altérant son mode de fonctionnement originel.

Les biens matériels composants le Cyberespace ne sont donc pas que des smartphones, PCs, serveurs… mais englobent également l’IoT (Internet of Things), et plus généralement, tous les composants électroniques dits « intelligents » ou « connectés ».

Ces équipements cyber hébergent et véhiculent un ensemble d’Informations numériques (des données, telles qu’un site web, une photo, un document, un annuaire d’entreprise…) ou d’Opérations numériques, (des actions permettant de contrôler des automates industriels par exemple – on y reviendra plus tard plus en détails).

Cet ensemble d’informations et d’opérations sont interconnectés entre eux et hébergés au moyen de Systèmes d’Information, dont la mise en place et la gestion sont assurés par le secteur de l’IT (les Technologies de l’Information).

Le monde Cyber – ou Cyberespace – se compose donc d’une multitude de systèmes informatisés (pc, serveur, automate industriel, smartphone, carte électronique… ) véhiculant des Informations ou des Opérations Numériques à travers un réseau commun. Le plus connu d’entre eux est Internet, mais il ne faut pas oublier les réseaux privés ou isolés.

Cybersécurité VS Cyberdéfense

La définition même de la cybersécurité n’accorde pas tous les acteurs et experts qui en font leur activité. Rares sont ceux capables d’expliquer la différence avec la cyberdéfense. Heureusement, nous avons la chance en France d’avoir l’ANSSI, qui s’est s’imposé comme le maître à penser de la sécurité numérique, et qui en a proposé une définition dès 2011 à travers sa publication « Défense et Sécurité des Systèmes d’Information – Stratégie de la France » :

  • Cybersécurité : état recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles.
  • Cyberdéfense : ensemble des mesures techniques et non techniques permettant à un État de défendre dans le cyberespace les systèmes d’information jugés essentiels.

En résumé, la cyberdéfense est ici définie comme l’activité de Sécurité des Systèmes d’Information (ensemble des moyens techniques, organisationnels, juridiques et humains dans le but de protéger la Disponibilité, l’Intégrité, la Confidentialité, et la Traçabilité des Informations numériques d’une entreprise ou d’un particulier) permettant d’être en (état de) cybersécurité.

Toutefois, la cyberdéfense se distingue quelque peu de la SSI. Les cibles sont  différentes. On privilégiera le terme cyber dès lors qu’un Etat, une Autorité Administrative, un Opérateur d’Importance Vitale (OIV), une entité militaire, ou même une ou plusieurs vie(s) humaine(s) sont concernés par un risque numérique. Pour le reste, on parlera plutôt de SSI.

Définitions officielles et activités liées a la cybersécurite

Sauf que ! Le monde cyber ayant considérablement évolué ces dernières années, le sens des termes également. De nouveaux sont apparus, et la France en a profité pour publier une série de définitions au Journal Officiel du 19 septembre 2017. Ces clarifications servent à amener de la cohérence entre les différentes entités Etatiques mettant en place une organisation cyber, notamment au sein du monde militaire. Sans rentrer dans les détails ni énumérer les définitions une à une, l’activité de SSI revient à la cyberprotection, tandis que le sens de cyberdéfense évolue. On peut résumer les choses de la manière suivante :

CyberSécurité = CyberProtection + CyberDéfense + CyberRésilience

  • La Cyberprotection représente la SSI.  Elle consiste à mettre en œuvre des mesures de sécurité (organisationnelles ou techniques),  afin de ralentir ou bloquer les attaques, en particulier au travers de cloisonnement des systèmes et de mise en œuvre du principe de défense en profondeur.
  • La Cyberdéfense représente la LID  (Lutte Informatique Défensive). Elle a vocation à compléter les mesures de protection en mettant en œuvre des capacités de détection, d’identification, et de réaction face à des attaques, notamment à travers la mise en œuvre de SOC (Security Operation Centre). Ceux-ci s’appuient  essentiellement sur du contrôle d’intégrité, de l’analyse anti-malware / virale, de la détection et prévention d’intrusion, et de la collecte et corrélation d’évènements (à travers des SIEM notamment).
  • La Cyberrésilience  est assurée par le MCS (Maintien en Condition de Sécurité). Cette activité vise à maintenir le niveau de sécurité d’un SI dans le temps, à résister à une attaque et à revenir à son état initial en cas d’incident. On parlera principalement de veille sur les vulnérabilités et les failles du système et de mises à jour de sécurité. Celui-ci peut également être épaulé par la mise en place de PCA/PRA (Plan de Continuité ou de Reprise d’Activité) afin d’assurer la cyberrésilience d’un SI en cas de défaillance d’un bien support.

D’autres termes cyber de plus en plus répandus se trouvent également une définition officielle à travers cette publication du JO. Le plus intéressant est celui de LIO (Lutte Informatique Offensive). La France s’est d’ailleurs récemment dotée d’une doctrine militaire (publique et confidentielle) dans ce domaine. Un prochain article est à venir à ce sujet. Tous conservent néanmoins cette connotation étatique, dont les enjeux ne sont plus seulement au niveau des biens, mais des personnes.

IT VS OT

Dernière notion qu’il semble essentiel d’aborder, la distinction entre les Technologies de l’Information (IT), et celles des Opérations (OT), terme beaucoup plus récent et encore peu répandu.

Si l’IT est historiquement associé aux Systèmes d’Information, l’OT est quant à lui son pendant dans le monde Industriel. Comprendre par là qu’il s’agit de SI métiers, traitant non pas des informations numériques, mais des opérations numérisés (réalisées au moyen d’outils informatiques) permettant d’activer, de gérer ou de contrôler des automates, des machines. Ce sont les systèmes que l’on retrouve notamment dans des infrastructures critiques, telles que la gestion de l’eau, du gaz, du pétrole, de l’énergie, mais également dans la gestion du trafic routier et aérien, les systèmes de pilotage d’un avion, d’un navire….. Là où l’IT propose généralement un Système d’Information bureautique (postes client – serveur ; outils administratifs, téléphones, imprimantes…), l’OT propose des Systèmes (informatisés) Industriels permettant le pilotage d’automates.

 Les deux mondes ont historiquement évolués en parallèle, avec quelques tentatives de rapprochements, régulièrement soldées par des échecs. Si le monde de l’IT s’est structuré stratégiquement (gouvernance et organisation, normes, SMSI, analyse de risques…) et opérationnellement (défense en profondeur, durcissement et veille technologique, mise en œuvre de solutions de sécurité…), celui de l’OT n’a pas (ou peu) suivi. Bien que la connectivité et la surface d’attaque de ce dernier soit minime par rapport à l’IT, il n’en reste pas moins soumis au risque Cyber. D’une certaine manière, plus encore. L’impact d’une attaque informatique sur un de ces systèmes aurait des conséquences bien plus graves. A ceci s’ajoute des problématiques grandissantes. D’une part, le manque de sécurité des systèmes industriels (failles et vulnérabilités, obsolescence…), constamment pointé du doigt. Et d’autre part, la convergence à venir de plus en plus évidente entre l’IT et l’OT ; la connectivité grandissante entre ces SI augmentera de manière significative la surface d’attaque, et donc, les risques cyber. L’OT fait donc partie intégrante du Cyberespace.

Le conflit dans le cyberespace

Dans un monde de plus en plus connecté, il est maintenant évident que les cyberattaques ne se limitent plus seulement à rendre indisponible un site web ou à voler des informations. La surface d’attaque grandissant de jour en jour, les impacts potentiels augmentent exponentiellement. L’époque ou de simples geeks s’amusaient à défacer un site web pour le fun laisse désormais place à des attaquants structurés, aux motifs bien plus néfastes, souvent financés par des Etats ou des mafias. Attaque terroriste sur des centrales nucléaires ou des barrages, neutralisation des systèmes militaires adverses (navires, aéronefs, systèmes d’armes…), indisponibilité des systèmes ferroviaires, bancaires, des moyens de communications, voire, manipulation des foules…

Le Cyberespace est devenu un lieu de conflit permanent, au point de donner naissance à un nouveau moyen offensif : l’Arme Cyber. De quoi s’agit-il exactement ? >> Un autre article à venir prochainement.


A lire aussi sur le même sujet :

Add comment