Cybersécurité

Un article de Wikipédia, l'encyclopédie libre.
Sauter à la navigation Sauter à la recherche

Le mot cybersécurité est un néologisme désignant le rôle de l'ensemble des lois, politiques, outils, dispositifs, concepts et mécanismes de sécurité, méthodes de gestion des risques, actions, formations, bonnes pratiques et technologies qui peuvent être utilisés pour protéger les personnes et les actifs informatiques matériels et immatériels (connectés directement ou indirectement à un réseau) des états et des organisations (avec un objectif de disponibilité, intégrité & authenticité, confidentialité, preuve & non-répudiation)[1].

Origine et définition[modifier | modifier le code]

Le préfixe cyber a donné avec Internet et la généralisation du numérique un grand nombre de mots tels que cyberespace, cybersécurité, cyberdéfense, cyberattaque, cybercrime, cybercafé, cyberculture, cyberdémocratie, cybermarché, cyber-réputation.

Le terme cybersécurité est construit à partir du préfixe Cyber d’origine grecque, réapparu au milieu du XXe siècle avec cybernétique, ce dernier concernant l'étude des processus de contrôle et de communication chez l’être vivant et la machine[2].

Concept général de la cybersécurité[modifier | modifier le code]

La cybersécurité, qui concerne la sécurité de chaque État-Nation, présente des enjeux économiques, stratégiques et politiques qui vont donc bien au-delà de la seule Sécurité des systèmes d'information. Elle concerne d'ailleurs aussi bien l'informatique de gestion, l'informatique industrielle, l'informatique embarquée que les objets connectés. La cybersécurité doit être appréhendée de manière holistique pour prendre en compte les aspects économiques, sociaux, éducatifs, juridiques, techniques, diplomatiques, militaires et de renseignement[3]. Excellence technique, adaptabilité et coopération sont essentielles dans ce domaine.

Une stratégie nationale de cybersécurité va demander de la continuité politique et une vision à long terme. Des différentes publications des États semble se dégager un consensus reconnaissant la nécessité d'organiser et d'assurer la sécurité et la défense des systèmes techniques eux-mêmes, et celles des sociétés qui utilisent ces systèmes.

Ceci dit, afin d'encourager une culture mondiale et motiver les pays pour qu'ils intensifient leurs efforts en matière de cybersécurité, l'Union internationale des télécommunications a développé un indice de la cybersécurité dans le monde (GCI) qui mesure le niveau de développement de chaque pays dans ce domaine. Le premier rapport a été publié en avril 2015[4]. Le GCI évalue l'engagement des pays en faveur de la cybersécurité au regard de cinq piliers stratégiques (juridique, technique, organisation, prise de conscience et savoir-faire, coopération internationale).

Dans le domaine de la cybersécurité, les cycles de réaction et de décisions doivent être brefs. L'ISACA invite à utiliser un processus simple, développé par le NIST[5], pour identifier les menaces, se protéger, détecter les attaques, y répondre, puis revenir à un mode de fonctionnement normal. L'obligation de signaler ces attaques relève d'un niveau de maturité des organisations et des États qu'il reste encore à travailler. L'ISACA, comme à son habitude, inscrit ce processus dans le cadre d'une méthodologie reposant sur l'analyse de risques pour identifier les actifs critiques (patrimoine informationnel), définir des objectifs de sécurité et d'optimisation des risques. L'approche doit être très opérationnelle pour être capable de gérer des cyberattaques en temps réel, de réagir et de donner des ordres afin que des mesures concrètes soient prises et que des actions pertinentes soient menées[6].

La notion de ISOC, pour Information security operations center[7]devient une composante pleine et entière de la mise en œuvre des politiques de cybersécurité dans les organisations publiques et privées. Pour être efficace, une ISOC doit "monitorer" l'ensemble des composants d'un système d'information et être capable de détecter et de sélectionner parmi des milliards d’octets des éléments caractéristiques d'une cyberattaque puis, le cas échéant, d’adapter le plus intelligemment possible la réactivité des différents composants concernés dudit système d'information.

En cybersécurité, au moins deux questions sont donc à adresser : Comment protéger ses infrastructures vitales ? Comment faire coopérer acteurs privés ou publics ?

La maîtrise du patrimoine informationnel, constitué de documents et de données informatiques, constitue également un des enjeux de la cybersécurité.

La réglementation internationale[modifier | modifier le code]

Face à l’augmentation des menaces, la réglementation est internationale.

États-Unis[modifier | modifier le code]

Pour les États-Unis on peut citer deux premières directives de la Maison-Blanche de 2013[8] et de 2015[9], ainsi que la création en février 2015 d'une nouvelle agence dédiée à la cybersécurité, la CTIIC[10]. Le Département de la Défense des États-Unis met à jour régulièrement sa cyberstratégie[11]. Les cinq priorités de l'Administration américaine dans le domaine de la cybersécurité deviennent :

  1. Protéger les infrastructures critiques des États-Unis[12] ;
  2. Améliorer la capacité des États-Unis à identifier les cyberattaques et à rapporter celles-ci afin que le pays puisse y répondre rapidement et efficacement de manière coordonnée ;
  3. Développer les partenariats internationaux afin de continuer à promouvoir la liberté sur Internet ;
  4. Sécuriser les réseaux des différents États en définissant des objectifs clairs et mesurables, et responsabiliser les agences fédérales pour qu'elles atteignent ces objectifs ;
  5. Éduquer pour façonner une main-d'œuvre avertie, sensibilisée aux enjeux de la cybersécurité.

La directive CISA[13], qui crée de manière spécifique un cadre juridique encourageant l’échange entre le secteur privé et le gouvernement fédéral d’information concernant les cyber-menaces et les mécanismes de défense, a été promulguée en loi par monsieur le Président Barack Obama le 18 décembre 2015. Elle restera effective jusqu'au 30 septembre 2025.

Début 2016, monsieur le Président Barack Obama a renforcé ces initiatives par l'annonce d'un plan d'actions national en cybersécurité[14]. Ce plan, baptisé CNAP, a pour objectif d'encore mieux protéger la vie privée et la sécurité publique, de continuer à améliorer la sécurité économique dans le domaine du numérique, de renforcer la sensibilisation et la protection de l'ensemble des parties prenantes, y compris en augmentant le niveau de sécurité informatique des agences fédérales. CNAP est associé à un budget de plus de 19 milliards de dollar US en 2017.

La cybersécurité est aussi une des priorités de monsieur le Président élu Donald Trump qui a rappelé en octobre 2016 vouloir mettre en place, dès sa prise de fonction le 20 janvier 2017, un comité d'experts pour renforcer les mesures et adresser les problématiques gouvernementales et privées dans ce domaine[15]. Le 2 novembre 2017, un projet de loi, baptisé SHIELD Act, a été annoncé pour renforcer la cybersécurité dans l'État de New York[16].

Union européenne[modifier | modifier le code]

Dans le cadre de l'Union européenne un projet de directive (référence SWD 2013-31 et 32) du Parlement et du Conseil Européens est en cours de validation. Il concerne des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union qui imposerait un niveau de sécurité minimum pour les technologies, les réseaux et les services numériques dans l'ensemble des États membres. Le texte propose également d'obliger certaines entreprises et organisations à signaler les incidents de sécurité informatique majeurs dont elles sont victimes La stratégie de cybersécurité de l'UE définit l'approche adoptée par l'UE pour prévenir au mieux les perturbations et les attaques informatiques et y apporter une réponse. Elle passe en revue une série d'actions visant à augmenter la cyber‑résilience des systèmes informatiques, à réduire la cybercriminalité et à renforcer la politique de l'UE en matière de cybersécurité et de cyberdéfense à l'échelle internationale, pour protéger le cyberespace, dans les domaines tant civil que militaire.

Le Forum international de la cybersécurité s’inscrit dans une démarche de réflexions et d’échanges visant à promouvoir une vision européenne de la cybersécurité et à renforcer la lutte contre la cybercriminalité, priorité de l’Union européenne affichée dans le programme européen de Stockholm de 2010-2015.

L'organisation européenne de la cybersécurité (ECSO) [17] a été créée en juin 2016 avec pour objectif d'aider les projets qui permettraient de développer, de promouvoir ou d'encourager les initiatives sur la cybersécurité en Europe.

En juillet 2016, le Parlement européen et le Conseil de l’Union européenne ont adopté la directive sur la sécurité des réseaux et des systèmes d’information connue sous l’appellation "directive NIS". Cette directive prévoit le renforcement des capacités nationales de cybersécurité ; l’établissement d’un cadre de coopération volontaire entre Etats ; le renforcement par chaque Etat de la cybersécurité d’« opérateurs de services essentiels » au fonctionnement de l’économie et de la société (élargissement de la notion d'opérateur d'importance vitale OIV) ; l’instauration de règles européennes communes en matière de cybersécurité des prestataires de services numériques dans les domaines de l’informatique en nuage, des moteurs de recherche et places de marché en ligne. Mai 2018 étant la date limite pour la transposition de la directive NIS au niveau national[18]. Le règlement d'exécution de NIS a été publié au Journal officiel de l'Union européenne le 30 janvier 2018[19].

France[modifier | modifier le code]

En France, Jean-Marc Ayrault, alors Premier ministre, déclarait le 21 février 2014 : La cybersécurité « est une question d’intérêt majeur et d’intérêt national qui concerne tous les citoyens, tous les Français, et c’est pourquoi il est important que le gouvernement s’engage totalement »[20]. Et madame Axelle Lemaire, Secrétaire d’État au numérique, indiquait le 6 juillet 2015 : « Le Gouvernement présentera dès la rentrée prochaine une stratégie nationale globale sur la cybersécurité ». Comme ainsi prévu, monsieur Manuel Valls, Premier Ministre, a présenté le 16 octobre 2015 cette Stratégie nationale pour la sécurité du numérique[21] qui doit s'appuyer sur la formation et la coopération internationale (proposition d'élaboration d'une feuille de route pour l'autonomie stratégique numérique de l'Europe ; participation renforcée de la France aux négociations multilatérales sur la cybersécurité au sein de l'ONU et de l'OSCE).

Cette stratégie, élaborée avec l'ensemble des ministères, fixe les objectifs à atteindre et les orientations qui en découlent afin de conforter la sécurité et la défense de nos infrastructures critiques et d’accompagner la transition numérique en définissant les leviers humains, techniques et opérationnels nécessaires à l’innovation, au développement économique et à la confiance des Français dans le numérique[22].

Enfin, la mise en place d’un dispositif susceptible d’assister sur tout le territoire les victimes d’actes de cybermalveillance (particuliers, collectivités territoriales et entreprises de toute taille), annoncée en 2015, a été confirmée début 2017 par l'ANSSI (Agence nationale de la sécurité des systèmes d'information). Ce dispositif, en cours de constitution, fournira, via une plateforme numérique baptisée ACYMA (Actions contre la cybermalveillance), un service d’assistance au dépôt de plainte et d’orientation vers des acteurs locaux susceptibles de fournir l’assistance technique la plus adaptée à la situation de la victime [23].

Toujours en France, l’article 15 de la Loi de programmation militaire pour 2014-2019 (votée en décembre 2013) détaille les obligations que le Premier ministre peut imposer aux opérateurs d'importance vitale (OIV) en matière de sécurisation de leur réseau, de qualification de leurs systèmes de détection, d'information sur les attaques qu'ils peuvent subir et de soumission à des contrôles. Il prévoit également les sanctions pénales applicables en cas de non-respect de ces obligations (Il y a environ 200 OIV dont 120 dans le secteur privé et 80 dans le secteur public). Le fait que ces obligations soient traitées dans la Loi de programmation militaire montre simplement que la défense et la sécurité nationale doivent être traitées globalement et de manière cohérente. L'article 22 de cette Loi impose aux OIV la mise en place d’équipements de détection d’attaques informatiques et leur exploitation par des prestataires qualifiés par l’ANSSI ou par d'autres services de l'État désignés par le Premier ministre.

La cybersécurité est d'ailleurs aussi un des 12 domaines du plan Vigipirate qui concerne directement l'ANSSI, les OIV et leurs sous-traitants, ainsi que les Administrations. Les collectivités territoriales, les Opérateurs non-OIV sont simplement incités à mettre en œuvre le plan Vigipirate. Des objectifs permanents de sécurité communs à tous sont donc également considérés comme des conditions du succès de la mise en œuvre du plan Vigipirate[24].

Parmi les différentes associations actives en France dans le domaine de la cybersécurité, l'on peut notamment citer l'Alliance pour la Confiance Numérique (ACN[25]) ou encore Tech in France (éditeurs de logiciels) ainsi qu'Hexatrust[26], association regroupant des PME d'édition et d'intégration informatiques. Ces trois associations sont membres de la FIEEC qui assure la liaison de leurs travaux respectifs.

Un label "France Cybersecurity"[27], a été créé pour sensibiliser les utilisateurs, attester de la qualité et des fonctionnalités des produits et services labellisés, promouvoir en France et à l'international les solutions de cybersécurité françaises, accroître leur visibilité et leur usage pour élever le niveau de protection des utilisateurs.

Le décret d'application de la loi de transposition de la directive européenne baptisée NIS est publié au Journal officiel le 25 mai 2018[28].

Royaume-Uni[modifier | modifier le code]

Le 1er novembre 2016, le Royaume-Uni publie son plan stratégique 2016-2021 sur la cybersécurité. Ce plan s'articule autour de 3 objectifs : Défendre le Royaume-Uni contre les menaces et y répondre efficacement en s'assurant que les entreprises privées et le secteur public ont bien le bon niveau de connaissance et la capacité d'assurer leur propre protection  ; Dissuader les possibles attaquants en allant de la détection de leurs attaques jusqu'à leur poursuite pénale ; Développer un secteur d'activité autour de la cybersécurité étayé par un effort spécifique en recherche et développement. Ces 3 objectifs étant aussi soutenus par un renforcement de la coopération internationale. Ce plan stratégique fait l'objet d'un effort d'investissement annoncé de 1,9 milliard de livres sterling[29]. Sa mise en oeuvre s'appuie notamment sur l'organisme gouvernemental National Cyber Security Centre créé en octobre 2016.

L'évaluation des mesures gouvernementales publiée en décembre 2016 au Royaume-Uni[30] confirme que le Règlement général sur la protection des données est un levier pour améliorer la gestion des risques dans le domaine de la cybersécurité.

Japon[modifier | modifier le code]

Le 10 juin 2013, le Conseil Stratégique en Sécurité Informatique du Japon a adopté une première version de Plan stratégique en Cybersécurité[31] ayant pour objectifs de créer un cyberespace dynamique et résilient et de faire du Japon un leader dans ce domaine à partir de 4 principes de base :

  1. Maintenir un accès libre à l’information ;
  2. Adresser les nouveaux risques informatiques ;
  3. Répondre aux cybermenaces à partir d’une analyse de risque ;
  4. Coopérer avec les parties prenantes conformément à une compréhension commune des enjeux de responsabilité sociale.

Ce Plan stratégique distingue 5 catégories de parties prenantes ayant chacune leur propre domaine de responsabilité : L’Etat ; Les opérateurs d’infrastructures critiques ; les grandes entreprises et universités ; les petites et moyennes entreprises ; les utilisateurs individuels ; les acteurs du monde informatique[32].

Le Cyberespace devenant alors un 5e domaine stratégique en termes de Défense nationale avec la terre, la mer, l’air et l’espace.

Dès cette époque, le Japon prévoyait de donner plus de responsabilités à son Centre National de Sécurité de l’Information (NISC) pour que cet organisme puisse coordonner toutes les actions opérationnelles d’intérêt national en cybersécurité. Ce qui a été fait depuis avec la seconde version de Plan stratégique en Cybersécurité publié en septembre 2015[33]. Dans ce contexte le NISC a d’ailleurs été rebaptisé Center National de préparation contre les incidents et de la stratégie en Cybersécurité[34]. Cette seconde version du Plan stratégique en Cybersécurité anticipe notamment la problématique de l’utilisation massive de l’Internet des Objets dans la perspective des Jeux olympiques d'été de 2020 à Tokyo. Le gouvernement japonais entend coopérer dans le domaine de la cybersécurité au sein de la région Asie-Pacifique, avec l’Amérique du Nord dans le cadre des accords Japon – USA et plus généralement avec chaque pays partageant les mêmes valeurs que le Japon.

Chine[modifier | modifier le code]

Le 7 novembre 2016, le Congrès National du Peuple chinois[35] a adopté sa première loi fondamentale sur la Cybersécurité. Le projet de loi avait été l'objet d'une consultation publique en deux étapes, en juillet 2015 puis en juillet 2016[36]. Cette loi sur la Cybersécurité entrera en vigueur le 1er juin 2017. Elle formalise la notion de souveraineté nationale dans le Cyberespace et introduit des définitions proches de celles données en France pour les opérateurs d'importance vitale et leurs infrastructures critiques.

D'une manière générale, la loi sur la Cybersécurité a pour but de maintenir la sécurité des réseaux informatiques, de sauvegarder la sécurité nationale et les intérêts publics, de protéger les droits des citoyens (et les données à caractère personnel), des sociétés et autres organisations intervenant en Chine ainsi que de promouvoir un développement sain des technologies de l'information dans les secteurs économiques et sociaux.

Cette loi sur la Cybersécurité donnera un cadre juridique à la définition des niveaux de sécurisation offerts par les réseaux informatiques et leurs composants, qu'il reste encore à préciser. Concernant la géolocalisation des données en Chine, l'effort est porté dans un premier temps sur les opérateurs d'importance vitale[37]. Enfin, elle encourage la définition de standards de sécurité informatique plus rigoureux que les standards actuellement reconnus.

Bibliographie[modifier | modifier le code]

  • Nicolas Arpagian, La Cybersécurité, PUF, coll. « Que sais-je ? », (ISBN 978-2130652199)
  • Ludovic Pietre-Cambacedes et Yannick Fourastier, Cybersecurite des installations industrielles, Éditions Cépaduès, , 528 p. (ISBN 978-2364931688)
  • Myriam Quéméner et Jean-Paul Pinte, Cybersécurité des acteurs économiques : Risques, réponses stratégiques et juridiques, Hermes Science Publications, coll. « Cyberconflits et cybercriminalité », (ISBN 978-2746239159)
  • Christian Aghroum, Les mots pour comprendre la cybersécurité : Et profiter sereinement d'Internet, Lignes de Repères Editions, , 217 p. (ISBN 978-2915752649)

Notes et références[modifier | modifier le code]

  1. Source ITU X.1205 [1]
  2. Dictionnaire historique de la langue française, édition Le Robert.
  3. Source Les évolutions de la cybersécurité : contraintes, facteurs, variables. Étude prospective et stratégique de la DGRIS de juin 2015.
  4. ITU Global Cybersecurity Index (GCI) [2]
  5. Framework for Improving Critical Infrastructure Cybersecurity [3]
  6. Source Armée de l'Air, Centre d’études stratégiques aérospatiales, Ministère de la Défense - Réflexions sur le cyber : Quels enjeux ? juillet 2015.
  7. Source article ISOC Information security operations center sur la version anglaise de wikipedia
  8. Executive Order - Improving Critical Infrastructure Cybersecurity [4]
  9. Executive Order - Promoting Private Sector Cybersecurity Information Sharing [5]
  10. The Cyber Threat Intelligence Integration Center [6]
  11. The DOD Cyberstrategy, avril 2015 [7]
  12. Concernant la protection des infrastructures critiques, le gouvernement américain a mis en place un plan national, baptisé NIPP, intégrant non seulement la cybersécurité mais aussi les autres menaces telles que pandémie, terrorisme, perturbation atmosphérique extrême et, bien entendu, panne et accident majeurs.
  13. Cybersecurity Information Sharing Act
  14. USA Cybersecurity National Action Plan (February 2016)[8]
  15. Donald Trump immediate action on Cybersecurity[9]
  16. A.G. Schneiderman Announces SHIELD Act To Protect New Yorkers From Data Breaches[10]
  17. European Cyber Security Organisation [11]
  18. Adoption de la directive Network and Information Security (NIS)[12]
  19. Règlement d'exécution (UE) 2018/151[13]
  20. Discours du Premier ministre tenu à l’ANSSI [14]
  21. Stratégie nationale pour la sécurité du numérique [15]
  22. Source Égalité des droits : la confiance, socle de la société numérique - Cybersécurité et cyberprotection [16]
  23. Communiqué de Presse ANSSI - Le dispositif national d'assistance aux victimes ACYMA se dévoile au FIC 2017 [17]
  24. Source Vigipirate - Partie publique du Plan gouvernemental, 2013.
  25. « Accueil », sur ACN (consulté le 1er février 2017)
  26. « Hexatrust »
  27. Label France Cybersecurity [18]
  28. Règlement d'exécution (UE) 2018/151[19]
  29. UK Five Years National Cyber Security Strategy [20]
  30. Cyber Security Regulation and Incentives Review[21]
  31. Cybersecurity Strategy | Summarizing (June 2013)[22]
  32. Cybersecurity Strategy Plan (June 10, 2013)[23]
  33. Cybersecurity Strategy Plan (September 4, 2015)[24]
  34. National center of Incident readyness and Strategy for Cybersecurity [25]
  35. National People's Congress of the People's Republic of China[26]
  36. Cybersecurity Law of the People’s Republic of China (Third Reading Draft)[27]
  37. Legal Update: China’s Cybersecurity Law by the American Chamber of Commerce in China[28]

Annexes[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]