Le niveau de menace à la cybersécurité est préoccupant. Des installations nationales sur sol souverain dans la zone des Caraïbes, du Pacifique et de l’Océan Indien, pourraient aider à couvrir convenablement H24 des actions de cybersurveillance.
Le niveau de menace à la cybersécurité devient préoccupant. Les grandes entreprises ont justement souligné l’aggravation de ce niveau et de celui des enjeux pour les entreprises, tant les risques d’attaques systémiques demeurent nettement plus élevés qu’habituellement.
Les raisons en sont sans doute multiples ; augmentation chronique de la malveillance, augmentation de la surface d’attaque liée au déploiement du télétravail, compromission d’une partie du code d’équipements ou de systèmes sensibles (Microsoft, etc.), situation de crise générale liée aux tensions sur les campagnes de vaccination, etc.
Au-delà de ces constats partagés par tous, il faut agir rapidement de manière à être en capacité d’endiguer une crise systémique majeure qui pourrait survenir, de jour comme de nuit sur les entreprises. De ce point de vue, ces dernières ont une part de responsabilité importante comme l’a souligné récemment le directeur général de l’ANSSI. Tout ne peut pas venir de l’état.
Plusieurs pistes s’ouvrent devant nous. La première concerne l’évident besoin de coordination en matière de gestion de crise interentreprises visant à faire circuler le plus rapidement possible entre interlocuteurs autorisés, les informations sur la nature des attaques, les alertes, les bonnes pratiques, les recommandations du moment, dans un système coopératif et partagé.
Chacun jouerait son rôle, en respectant plusieurs principes : le premier est que plus l’attaque est systémique, plus l’information doit être partagée, car il relève de l’intérêt général que l’ensemble du tissu économique puisse éviter la catastrophe ; et d’autre part le fait que les plus puissants et « sachants » doivent impérativement aider les plus petits et les moins outillés dans une recherche d’efficacité systémique : ceux qui savent et qui peuvent, doivent.
Vient ensuite la résolution de la question de l’homologation et certification des interlocuteurs de confiance dans l’entreprise, autrement dit le statut du RSSI ou de l’expert cyber, qui après une période d’approbation et de certification pourra avoir accès à des informations sensibles dans l’objectif de protéger l’intérêt économique général. Le statut du RSSI doit avancer, car c’est la seule voie praticable pour partager des informations de confiance entre personnes qui ont à en connaître, comme le veut la formule consacrée.
Profiter des installations nationales sur sol souverain dans la zone Caraïbes, Pacifique et Océan Indien, [permettrait] de couvrir 24/24 des actions de cybersurveillance [...] des entreprises basées en métropole.
Mais pour avancer sur la question de la cybersurveillance de nuit, une piste prometteuse a été ouverte par les territoires d’outre-mer, visant à mettre en place une infrastructure et une organisation qui réconcilie toutes les contraintes (coût, déploiement, efficacité et carence de compétences). Il paraît en effet de bon sens de profiter des installations nationales sur sol souverain dans la zone Caraïbes, Pacifique et Océan Indien, afin de couvrir convenablement 24 heures sur 24 des actions de cybersurveillance de l’ensemble des systèmes des entreprises basées en métropole. Ceci étant dans la mesure où il est très compliqué de faire travailler en France des spécialistes cyber de nuit, tant cette mission peut être socialement décourageante et les carences de ressources en spécialistes de la cybersécurité importantes.
Des centres de cybersurveillance reposant sur une infrastructure certifiée par l’ANSSI, pourraient ainsi être déployés dans les outre-mer, permettant d’armer 24 heures sur 24 la cybersurveillance du territoire national. La question de la disponibilité des compétences peut être résolue : en formant les spécialistes sur place et en établissant une coopération entre les écoles et les centres de formation en cybersécurité (école d’ingénieurs, Masters) permettant d’effectuer une première année en métropole, et les deux années suivantes en apprentissage dans les territoires d’outre-mer, en contrat d’alternance dans des Socs et Cert installés sur place. Ainsi, les étudiants pourraient donc accéder à des formations diplômantes, incluant une partie d’apprentissage importante de cybersurveillance des entreprises, libérant des places en métropole dans les écoles, et permettant de disposer dans les territoires d’outre-mer d’un volume d’ingénieurs apprentis important.
Les opérateurs de Soc pourraient alors disposer sur place des compétences permettant de créer de nouveaux services de surveillance cyber H24, basé sur une infrastructure techniquement certifiée, des programmes de formation homologuée, permettant au passage d’augmenter la capacité de formation des établissements français.
Enfin, il n’est pas interdit de penser que l’infrastructure française dans les outre-mer, seule du genre au niveau européen, pourrait bénéficier à l’ensemble des pays de l’UE. L’activité de cybersurveillance dans les outre-mer deviendrait alors une activité d’exportation, et un élément de la consolidation de la politique européenne de cyberdéfense.
Ces idées ne sont pas nouvelles et ont fait l’objet d’une initiative importante en Polynésie française. Initiative qui a commencé en 2017, par l’organisation de plusieurs exercices de cybercrise réunissant l’ensemble des acteurs locaux et la mise en place d’un test technique « Blue team/Red team ». Celui-ci, effectué en janvier 2020, a permis de simuler une attaque sur une entreprise fictive pendant les heures ouvrables en métropole, puis en Polynésie, puis encore en métropole.
Une délégation de l’école nationale supérieure d’ingénieurs de Bretagne Sud (ENSIBS) s’est rendue sur place pour l’occasion. Cet exercice a permis de démontrer qu’il est possible de « cyberdéfendre » une entreprise basée en métropole depuis la Polynésie. La distance et le lag de quelques dizaines de millisecondes seulement, ne sont pas un enjeu pour la cybersurveillance 24/24 à distance. Les différents contacts pris par les universités locales en Polynésie et en Bretagne Sud ont permis de tisser les premiers axes d’une coopération entre campus universitaires, et d’envisager des programmes de formation basés sur les deux territoires dans le cadre évoqué ci-dessus.
Si bien entendu la crise Covid a ralenti la suite de l’élaboration de ce projet, il reste que l’idée paraît séduisante et permet de régler de nombreux problèmes en une seule fois : augmentation de la capacité de formation des écoles, disponibilité de ressources sur place, organisation de la cybersurveillance des entreprises en France et en Europe 24 heures sur 24 à faible coût social et économique, construction d’une architecture de cybersécurité européenne, activité à l’export et soutien à l’économie dans les outremers dans un contexte de contraction du marché du tourisme. L’idée doit être relancée, peut-être à l’occasion du prochain voyage présidentiel sur les territoires concernés.
Les grandes entreprises et les grands opérateurs sur le marché de la cybersurveillance pourraient ainsi marquer une forme d’intérêt, et effectuer la démonstration que l’équilibre technique organisationnel et économique peut être atteint.
Ce type d’initiative est régulier dans le secteur où l’innovation en cybersécurité est par essence foisonnante. Espérons que grâce à l’augmentation du niveau de la menace en ces périodes troublées, ces différents projets puissent avancer significativement et déboucher sur des solutions efficaces avant que la prochaine cyberattaque de masse ne survienne.
