Cyber Europe 2010 : un exercice utile mais encore insuffisant

Cela n’avait donc rien d’une coquetterie. Début novembre dernier, l’Agence européenne pour la sécurité des réseaux et des systèmes d’information, l’Enisa, organisait le premier exercice de cyber-sécurité à l’échelle du continent - ou plutôt de 22 états membres, dont la France. Comme le souligne l’agence dans un communiqué, cet exercice, baptisé Cyber Europe 2010, visait à «déclencher la communication et la collaboration entre les pays dans l’éventualité de cyber-attaques à grande échelle.» Une «activité éducative et de préparation [] organisée comme un exercice distribué de discussion, avec des acteurs participants depuis leurs bureaux personnels, de manière intégrée à leur routine quotidienne.» Le tout avec un coordinateur pour chaque pays membre impliqué. L’ensemble était basé sur un scénario d’attaque mettant en jeu la résilience des interconnexions IP entre états participants, suivant une topologie fictive. Sachant qu’aucun participant ne disposait, au départ, d’une vision globale de la situation à l’échelle du théâtre d’opérations. 

Savoir communiquer ensemble...

Le principal enseignement de l’exercice touche à la capacité des états membres à communiquer entre eux. Dans son communiqué, l’Enisa l’assume bien volontiers : «les organismes informatiques des états membres communiquent de nombreuses façons différentes. Une harmonisation des procédures d’opération standards conduirait à des communications plus sécurisées et efficaces.» Ce qui ne fait que renvoyer naturellement au second enseignement de l’exercice : «la capacité des participants à trouver des points de contact pertinents montrait des divergences.» Bref, en cas de crise réelle, vers quel interlocuteur se tourner ? 59 % des états membres participants ont reconnu leur faible confiance dans leur capacité à identifier l’interlocuteur approprié auprès d’un autre état membre. 

Mais le rôle de révélateur des lacunes européennes en matière de cyber-sécurité de Cyber Europe 2010 semble largement apprécié par les participants : pour 95 % d’entre eux, l’exercice a été profitable en matière d’établissement de la confiance; et 95 % en ont retiré une une meilleure compréhension des pratiques de gestion de crise informatique de leurs voisins. 

Aller plus loin

Au final, le rapport de l’Enisa foisonne de recommandations tirées de l’expérience. A commencer par celle de la renouveler de manière régulière pour renforcer les relations trans-nationales des responsables sécurité. Mais aussi l’intégration du secteur privé afin de produire des exercices plus réalistes. Et ce ne sera pas du luxe, si l’on en croît le dernier rapport annuel de McAfee sur la protection des infrastructures critiques. Celui-ci, réalisé en novembre 2010 en interrogeant 200 RSSI de 14 pays - dont l’Allemagne, l’Espagne, la France, l’Italie et le Royaume-Uni, pour l’Europe - souligne que 85 % des sondés ont subi une intrusion réseau et que 25 % ont fait l’objet d’une tentative d’extorsion. Mais aussi que 40 % ont détecté Stuxnet dans leur système d’information... Et en Allemagne et au Royaume-Uni, un maximum de 65 % des sondés fait confiance aux pouvoirs publics pour prévenir ou décourager une cyber-attaque. Un blason qui demande donc à être redoré. Pas des actes concrets dans un premier temps : en France 35 % des répondants n’ont pas d’interaction avec l’Etat en matière de cyber-sécurité - et à peu près autant en Espagne -, contre plus de 40 % au Royaume-Uni, mais 0 % au Japon. Quant à devoir répondre à des contrôles sur la sécurité de leur SI organisés par les forces de l’ordre locales, ils sont moins de 10 % de l’autre côté de la Manche et en Espagne, près de 25 % en Italie, de 40 % en France et en Allemagne, mais 100 % au Japon. Bref, au-delà des appels incantatoires à la coopération entre autorités et opérateurs d’infrastructures critiques, il semble qu’il faille des actes. 

En complément :

- Viviane Redding veut un Mr Cyber-sécurité pour l’Europe

- Cybercriminalité : constat partagé d’incapacité et d’impréparation

- Les sociétés critiques pour l'économie française recrutées comme supplétifs de la cyber-défense nationale

- La coopération public-privé en clé de voûte de la cyberdéfense