[COMPTE RENDU] Salon international de la cybersécurité 2019

digital.security s’est rendu les 22 et 23 janvier derniers à la onzième édition du Forum International de la Cybersécurité. En plus d’un stand dédié, notre service de veille a eu l’occasion d’assister à plusieurs conférences sur des sujets variés et complémentaires. digital.security vous propose ainsi de revenir sur cet évènement international qui a accueilli près de 10 000 visiteurs cette année. Outre une synthèse des plénières où se sont confrontées différentes visions éthiques du cyberespace, ce compte-rendu expose également les dernières innovations exposées lors du salon sur les stands des entreprises et agences gouvernementales. Á noter que plusieurs comptes rendus spécialisés ont déjà été précédemment mis en ligne sur notre site. 

« Tous connectés, tous impliqués, tous responsables »

     Ces mots du directeur de l’ANSSI, Guillaume Poupard, témoignent de l’implication globale de tous vis-à-vis de la cybersécurité. Le vecteur humain étant à l’origine d’importantes attaques (absence de mises à jour, shadow IT, connexion à de faux hot spots Wi-Fi, etc …), les États, les multinationales, les PME et les citoyens doivent collaborer ensemble à l’amélioration du cyberespace. La sécurité est en effet l’affaire de tous, étant donné que cet écosystème est universel.

La capacité de résilience des États et des entreprises qui font face à un « cyber-Pearl Harbor » a particulièrement été mise en exergue par Guillaume Poupard ainsi que les capacités à s’organiser, anticiper, détecter et à collaborer, qui elles ont été définies comme une priorité. Au niveau étatique, différents dispositifs mis en œuvre ont été abordés comme les réglementations nationale et supranationale (La LPM, la NIS, le RGPD, la loi contre la manipulation de l’information…), Les normalisations (L’European Cyber Act en cours de discussion…) et les certifications dédiées (Certification des prestataires de détection d’incident de sécurité – PDIS, certification des prestataires de service d’informatique en nuage – SecNumCloud…)

Au cours de ce salon, les acteurs majeurs de la cybersécurité ont également pointé du doigt les menaces contre les objets connectés – qui se multiplient – et contre les systèmes industriels qui constatent une réelle augmentation des attaques. Face à cette menace grandissante, la ministre des Armées, Florence Parly, a notamment annoncé que « l’armée française pourrait désormais mener des cyberattaques, en allant bien plus loin que la simple défense ».

La stratégie de cyberdéfense française

    Ces paroles font suite à l’annonce une semaine plus tôt de la nouvelle doctrine de lutte informatique offensive (LIO). La ministre a profité du FIC pour lancer la campagne de communication et affirmer la fermeté de la réponse française face aux cyberattaques. En effet, l’Armée a ouvertement affiché la nécessité de recruter 1000 cybercombattants supplémentaires avec des compétences de « savoir-vivre militaire ». Rappelons que cette LIO fera partie de la palette opérationnelle des Armées. La LIO va permettre d’exploiter les vulnérabilités dans les systèmes numériques adverses durant toutes les phases d’une crise (renseignement, prévention, gestion ou stabilisation).

Le directeur de l’ANSSI est revenu sur cette annonce en qualifiant cette doctrine de « cohérente et en adéquation avec l’Appel de Paris ». Il a notamment rappelé que « la France et l’Europe ont un rôle historique à jouer pour prévenir le surgissement d’un Far West numérique » soulignant le besoin de coopération des nations européennes dans la sécurité du cyberespace.

Pendant la plénière d’ouverture, le directeur de l’ANSSI a insisté sur le caractère polymorphe des menaces toujours « plus fortes, proliférantes, et plus difficiles à attribuer ». ll a également rappelé que la moindre faille dans les chaînes de confiance pouvait être exploitée par des attaquants dont certains étaient soutenus par des États. Pour finir, Guillaume Poupard a annoncé le lancement d’une qualification nationale pour les acteurs privés.

Cette prérogative permet aux entreprises de faire appel à des entreprises validées par l’État, en mesure de fournir des connaissances et solutions de sécurité. Face à la diversité des menaces, l’ANSSI peut maintenant intervenir chez un hébergeur et s’assurer qu’un attaquant n’utilise pas ce serveur pour des actes malveillants. La qualification nationale, dont se dote l’ANSSI, lui permet donc de travailler avec des partenaires privés (reconnus comme des acteurs fiables) pour couvrir le plus large panel des entreprises françaises et infrastructures en termes de protection. Les trois premiers prestataires ont été annoncés au FIC 2019 pour la détection d’incidents de sécurité à savoir, Orange, Sopra Steria et Sogeti. Ils pourront désormais proposer leurs services aux opérateurs d’importance vitale pour protéger leurs systèmes d’information d’importance vitale, conformément au référentiel d’exigence de l’ANSSI.

Le défi des entreprises

    Les objets connectés qui se multiplient (environ 50 milliards seront produits d’ici en 2020), sont devenus des cibles grandissantes des pirates informatiques. Il en va de même pour les systèmes industriels, souvent interconnectés avec les clients et les sous-traitants. Ces attaques visent aussi bien les entreprises que les particuliers. L’IoT est souvent utilisé pour dans la formation de botnets. Les programmes malveillants sont utilisés à des fins de « machines zombies » pour mener des attaques informatiques par DDoS. Ces objets connectés qui sont par définition vulnérables peuvent être détournés par des hackers malveillants. Cette édition du FIC a rassemblé de nombreuses idées quant à la sécurisation de l’internet des objets et des systèmes industriels par le « by design », c’est-à-dire par l’intégration de la sécurité dès la phase de conception.

La sécurité du Cloud a elle aussi été abordée vis-à-vis des entreprises. Les données stockées dans le Cloud présentent de nombreuses sources de menace. L’accès au Cloud doit être sécurisé de prime abord pour contrer les attaquants qui tenteraient d’exfiltrer des données. De nombreuses entreprises comme Amazon Web Services (avec son système d’identification), Microsoft (et son programme de Threat Intelligence) et Google (et sa plateforme Cloud) étaient présentent sur le Salon pour « rassurer » les entreprises et proposer des solutions de cybersécurité.

Les menaces qui se multiplient toujours plus touchent différentes couchent du cyberespace. Selon Guillaume Tissier, directeur général de la société de conseil en stratégie CEIS et co-organisateur du FIC, « elles portent sur la technique, mais également sur les données, elles touchent aussi à la propagande virale avec ce qu’on appelle les fake news ».

Le président du CESIN (Club des experts de la sécurité de l’information et du numérique), Alain Bouillé, était présent à l’évènement pour prendre la parole et dresser un bilan des principales attaques cyber dans les entreprises françaises. Selon la quatrième édition du baromètre annuel de CESIN, « le Phishing est le mode d’attaque le plus fréquent, 73 % en ont été victimes ». Vient ensuite, l’arnaque au Président, puis le ransomware qui touche 44% et le social engineering à hauteur de 40%. Il a de plus souligné l’une des principales inquiétudes des Responsables Sécurité des Systèmes d’Information qui est le Shadow IT, le fait que les employés d’une entreprise utilisent des logiciels d’informations et de communication non validés par les Direction des SI. L’utilisation des applications et des services Cloud gratuits (à l’image de Google Drive, WeTransfer…) augmente le risque d’attaques, de vol de données et peut compromettre leur intégrité. Alain Bouillé a fini par conclure qu’au vu de l’impossibilité de tout sécurisé, le tri s’imposait quant à la sécurisation des données les plus sensibles.

Les prix et les nouvelles solutions de sécurité

Le FIC, est surtout le lieu pour découvrir de nouvelles solutions cyber et sécuritaires. On note donc plusieurs nouveautés pour lutter contre les menaces sur les données. En voici un panel :

Lokly, la clé USB ultra-sécurisée est l’un des coups de cœur du jury du FIC 2019. Cette clé USB peut « s’utiliser hors de l’ordinateur grâce un port USB femelle et à son appli smartphone qui permet de sélectionner les infos à transférer ». Cette clé se destine aux entreprises qui doivent transmettre des informations sensibles. Sa force réside dans le fait qu’elle ne peut s’éloigner de son propriétaire de plus de dix mètres. Si tel est le cas, le téléphone le signale et la clé USB devient inutilisable. Elle coûte 240 euros pour 8GO et 790 euros pour 64GO.

Deux anciens de l’ANSSI ont créé Citalid, une plateforme qui permet de se prémunir des risques cyber. L’objectif de la plateforme sera d’extraire les menaces les plus pertinentes et « de mesurer le coût des scénarios, en intégrant les incertitudes ». Citalid s’appuie sur des facteurs géopolitiques, économiques et sociaux et sur des articles de presse pour mesurer l’exposition des entreprises aux menaces informatiques. Citalid a remporté le prix de l’innovation 2018 des assises de la sécurité.

Enfin, le prix du jury FIC 2019 a été décerné à Yogosha. La start-up propose une plateforme de bug bounty pour la sécurisation de tout périmètre applicatif IT tels que les sites marchands, les plateformes SaaS, les espaces clients… Le bug bounty permet à des entreprises d’avoir recours à des hackers pour détecter de quelconques failles sur leurs systèmes informatiques. Yogosha met donc en relation les hackers et les entreprises (elle compte une cinquantaine de clients comme l’Oréal, SwissLife…) en fonction de leurs compétences informatiques et de leurs capacités à interagir avec le client.

***

     Lors de ce FIC 2019, en plus de nouvelles solutions de sécurité annoncées et des remises de prix, on notera les annonces coup de poing du Ministère des Armées. Ferme face aux attaquants, l’annonce du lancement de son premier bug bounty vient se rajouter aux mesures phares du Ministère. Florence Parly a annoncé lors d’une plénière, un partenariat entre le Commandement de la cyberdéfense (plus de 3 400 cybercombattants) et la start-up YesWeHack qui est à l’origine d’une plateforme européenne de Bug Bounty. Cette alliance fera du Ministère des Armées, le premier ministère à se doter d’une chasse aux bugs de sécurité dès février2019. Les mots du directeur de l’ANSSI « Tous connectés, tous impliqués, tous responsables » sont ici illustrés. Le Bug Bounty qui va ouvrir de nouveaux horizons à la réserve opérationnelle cyber fait de la cause cyber un besoin global où tous les acteurs de l’espace cyber, étatiques ou non, sont concernés.