Cisco/Thales : une vision très souveraine du partage de renseignements

C’est fin juin que Cisco et Thales ont annoncé la signature d’un partenariat autour du développement d’une solution de sécurité dite « souveraine », conçue « pour les opérateurs d’infrastructures vitales ». De quoi donc, pour l’équipementier, se sécuriser l’accès aux OIV alors que les exigences se renforcent autour de leurs systèmes d’information, avec en particulier la publication durant l’été de plusieurs arrêtés sectoriels découlant de la loi de programmation militaire (LPM) de décembre 2013.

Cette solution, basée notamment sur la technologie AMP de Cisco, acquise avec le rachat de Sourcefire, vient d’être annoncée à l’occasion des Assises de la Sécurité, qui se déroulent actuellement à Monaco. Mais elle intègre un important volet services.

De fait, Thales va proposer, dans le cadre de cette solution, ses services de supervision opérationnelle de la sécurité, en s’appuyant notamment sur son SOC d’Elancourt, en banlieue ouest de Paris. Le groupe vient par ailleurs d’annoncer une sonde dite « de confiance » pour les OIV.

Les clients de la solution profiteront en outre du renseignement sur les menaces produit par les équipes Talos de Cisco – 600 personnes –, ainsi que d’autres sources propres à Thales. Et cela passe notamment par les analystes du groupe : « une plateforme de renseignement souveraine sur la cybermenace capable d’alimenter de façon proactive les sondes de détection, au fur et à mesure de l’évolution des cyberattaques », explique le communiqué de presse.

Mais la vision de la souveraineté articulée par Thales peut paraître là particulièrement commerciale. Pas question, en effet, de remonter le moindre renseignement produit à partir des menaces observées chez ses clients aux équipes de Cisco. Les clients de ce dernier, même s’ils sont OIV en France, ne devraient donc pas pouvoir profiter directement d’un partage de renseignement même limité à l’espace souverain de l’Hexagone.

Plus que jamais, et aussi essentiel qu’il soit à l’efficacité de la lutte, le partage de renseignement sur les menaces informatiques apparaît hautement délicat. Une problématique déjà soulevée à l’occasion d’une table ronde organisée lors de l’édition 2015 du Forum International de la Cybersécurité. Mais en coulisses, certains laissent entrevoir des échanges non systématiques, non automatisés et potentiellement informels, de gré-à-gré, entre acteurs concernés. Les OIV ont d’ailleurs une obligation légale de communication des événements de sécurité graves à l’Agence nationale pour la sécurité des systèmes d’information (Anssi), mais pas forcément des incidents individuels pourtant potentiellement porteurs d’indications. Cette obligation, Thales la rappelle également. Reste à savoir ce que l’Anssi fera de ce renseignement sur les menaces et comment elle le partagera.