Général Marc Watin-Augouard : « progresser dans l’attribution des cyberattaques »

Le Forum International de la Cybersécurité (le FIC se tient du 20 au 21 janvier à Lille) s’ouvre dans un contexte évidemment particulier avec les attentats qui ont touché le France début janvier. Quelles répercussions en attendez-vous ?

Général Marc Watin-Augouard : Il va forcément être question de ces événements lors de cette 7^ème édition du FIC. Les ministres de l’Intérieur et de la Défense (tous deux attendus sur l’événement, NDLR) vont probablement s’orienter encore davantage vers le cyber pour la lutte contre le terrorisme. Le rôle des réseaux sociaux et la coopération internationale vont aussi être évoqués. Sur cette dernière, des progrès ont été enregistrés en Europe, avec la création de EC3 (European Cybercrime Center) au sein d’Europol. Mais cette coopération repose avant tout sur la confiance et celle-ci ne se décrète pas. Il faudra voir quelles conséquences réelles aura le fantastique élan qui a suivi les attentats visant la France.

L’année 2014 a également été marquée par un grand nombre de piratages d’envergure ciblant des sociétés privées, dont celui tout récent de Sony Pictures. Quelles leçons faut-il en tirer ?

La première, c’est que toute entreprise qui manie des données à caractère personnel est concernée. Ces données sont de plus en plus l’or noir du cyberespace. La seconde, c’est qu’on ne sait pas toujours qui agit et pour le compte de qui. Même si le piratage de Sony Pictures a été attribué très rapidement à la Corée du Nord, des doutes subsistent. A-t-on affaire à un groupe de hackers complices de ce pays, à d’autres acteurs qui font croire à son implication ou à autre chose encore ? La grande difficulté que rencontrent les Etats réside dans l’attribution des attaques. Un domaine où on en est encore aux balbutiements et où on est vite confronté aux frontières poreuses entre terrorisme, cybercrime, agissements de mercenaires ou de certains états. Ce qui est sûr désormais, c’est qu’on ne peut pas exclure qu’une entreprise soit victime d’une crise interétatique et que déterminer les mobiles de ces cyber-attaques demeure très complexe.

J’ajouterai à cette liste l’importance des sous-traitants. Et de leur capacité à assurer leur sécurité. C’est un sujet très important quand on parle des OIV (Opérateurs d’importance vitale) qui font appel largement à l’externalisation. Si on développe la sécurité des OIV via les règles ou audits de l’Anssi (Agence nationale de la sécurité des systèmes d’information), quid de la petite entreprise sous-traitante qui constitue une porte d’entrée possible pour des assaillants ? Est-on sûr qu’elle soit au même niveau ?

Suite au piratage de Sony, le sujet de la légitime défense numérique a également émergé… Qu’en pensez-vous ?

La réalité des attaques n’est pas en conformité avec la doctrine de la légitime défense : une riposte immédiate et proportionnée à une agression identifiée. Or, dans le cas des APT (attaques persistantes avancées), les piratages sont souvent découverts plusieurs centaines de jours après le début de l’attaque. Riposter signifie aussi être sûr de la cible et mesurer en amont les éventuels dégâts latéraux. Or, c’est très difficile ! Si on avait par exemple riposté à l’attaque dont a été victime l’Estonie (en 2007, la Russie avait alors été montrée du doigt, NDLR), on aurait impacté le réseau américain par lequel transite la plupart des connexions Internet.

Tant pour la défense que pour la contre-attaque, la priorité est d’améliorer l’attribution. C’est tout l’enjeu de la R&D et des politiques de cyber-défense aujourd’hui. De premiers progrès ont été accomplis – via l’exploitation des signaux faibles par des technologies de type Big Data ou la pénétration de réseaux comme Tor (lors de l’opération Onymous ayant abouti au démantèlement de Silk Road 2), mais beaucoup reste à faire.