Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

ANSSI, le rapport 2018 ou la construction de la confiance numérique

Cette semaine, Eric A. Caprioli, avocat à la cour, nous dévoile ce qu'il faut retenir du Rapport 2018 de l’ANSSI (Agence nationale de la sécurité des systèmes d'information), publié le 15 avril dernier.
Twitter Facebook Linkedin Flipboard Email
×

ANSSI, le rapport 2018 ou la construction de la confiance numérique
ANSSI, le rapport 2018 ou la construction de la confiance numérique

L’ANSSI (Agence nationale de la sécurité des systèmes d'information) a publié le 15 avril 2019 son rapport d’activité 2018. Après les attaques mondiales de 2017, l’année 2018 a connu sans interruption des attaques ayant un fort impact sur les organisations. Dans un contexte où le risque de cyber-attaque est au plus haut en France et en Europe, l’ANSSI a renforcé son positionnement d’autorité de référence sur la cybersécurité à travers ses interventions dans le débat public et sa participation active à l’élaboration de textes de régulation à valeur stratégique. L’ANNSI est plus que jamais à la manœuvre.


5 grandes tendances des cybermenaces

Le rapport cible cinq grandes tendances de cybermenace en 2018 : l’exfiltration de données stratégiques (espionnage), les attaques indirectes (opérations de contournement des mesures de sécurité de très grandes organisation), les opérations de déstabilisation et d’influence, les attaques visant à générer des cryptomonnaies et la montée en puissance de la fraude en ligne l’encontre des collectivités publiques et des personnes vulnérables. S’agissant de la génération frauduleuse de cryptomonnaies, on relèvera avec intérêt que le bilan de l’ANSSI met fin au mythe de la sécurité absolue des blockchains. Sur un plan opérationnel, l’Agence a réalisé pas moins de 14 opérations de cyberdéfense en 2018 en réponse à un incident de sécurité majeur menaçant directement les systèmes numériques et compromettant les opérations liées à l’activité d’une organisation d’importance vitale ou fortement sensible. Durant cette période, l’Agence a dénombré 400 incidents significatifs dont 16 majeurs.


2018, année de diffusion d’"une culture de la sécurité numérique"

Selon Guillaume Poupard (DG de l’ANSSI), la lutte contre la cybermenace passera par la diffusion à tous les niveaux d’ « une culture de la sécurité numérique ». Cela s’est traduit par le succès public du MOOC SecNumacadémie et par la conclusion de quatre accords de partenariats avec des autorités nationales sectorielles à vocation stratégiques : ACPR, AMF, EPSF (Établissement public de sécurité ferroviaire) et DSAC (Direction de la sécurité de l’aviation civile). L’anticipation du risque s’est imposée comme un axe de travail majeur pour l’ANSSI qui entend poursuivre cette logique en 2019, au moyen notamment de l’Open Source. L’ANSSI contribue ainsi à 13 projets Open Source qu’il est possible de retrouver sur le GitHub de l’agence.


Management du risque numérique avec la méthode EBIOS Risk Manager

L’analyse de risque étant au cœur du management du risque numérique, l’ANSSI s’est engagée dans une démarche de modernisation de la méthode d’analyse de risques EBIOS. Innovante et pratique, la méthode rebaptisée EBIOS Risk Manager s’adapte aux nouveaux enjeux de la sécurité numérique. Elle propose de dépasser la seule approche technique pour encourager la création et la mise en œuvre de politiques de management des risques numériques, adaptées et intégrées au plus haut niveau décisionnel. À terme, le label éponyme renforcera encore la méthode avec la mise à disposition d'outils logiciels permettant la réalisation d’analyses de risques complètes.

 

Transposition de la directive NIS

Pilote de la transposition de la directive Network  and  Information  Security  (NIS) en France, l’ANSSI a mis en place une démarche d’accompagnement des opérateurs de services essentiels (OSE),  fournissant un  service  dont  l’interruption  aurait  un  impact  significatif  sur  le  fonctionnement de l’économie ou de la société. La France a identifié 122 OSE au stade de l’échéance du 9 novembre 2018 et instruit les dossiers de désignation d’une centaine d’opérateurs additionnels.
L’Appel de Paris pour la confiance et la sécurité dans le cyberespace

Le Président de la République a lancé l’Appel de Paris du 18 novembre 2018  où il invite les États, les utilisateurs et les acteurs économiques à assumer une responsabilité partagée dans la sécurisation du cyberespace. A cette occasion, l’ANSSI a lancé une réflexion sur les contours juridiques d’un droit international de la cyberguerre, notamment sur les problématiques du hackback et de la cyberdéfense active. Le rapport déplore une « zone d’incertitude » sur ce qu’il est permis ou non de faire, « porteuse de flou juridique et d’instabilité ». L’absence d’obligations pour les acteurs privés de concevoir et de maintenir des solutions numériques parfaitement sécurisées accroit le risque de déstabilisation à l’échelle internationale. La difficile pacification de l’espace numérique n’est ni technique ni militaire, mais diplomatique et juridique. Cet Appel de Paris (signé par 64 Etats sans les USA et la Russie) vise à relancer ces négociations sensibles et complexes au niveau international (ONU).


Cybersecurity Act : quelle place pour l’ANSSI dans la gouvernance européenne ?

Adopté le 12 mars dernier, le « Cybersecurity Act » est le fruit d’une importante contribution de l’ANSSI, renforçant sa place dans l’Europe de la cybersécurité. Ce dernier prévoit notamment trois niveaux d’assurance pour chaque type de certificat de cybersécurité européen (« élémentaire », « substantiel » ou « élevé »). Mais en renforçant les compétences de l’ENISA, qui devient le « point de référence pour les conseils et compétences en matière de cybersécurité pour les institutions, organes et organismes de l'Union ainsi que pour les autres parties prenantes concernées de l'Union » (art. 3), quelle place accordée à l’ANSSI dans cette nouvelle gouvernance ? La question de la défense nationale sur des intérêts stratégiques ainsi que celle de la souveraineté numérique vont très sûrement aiguillonner les discussions relatives aux marges de manœuvres opérationnelles de l’ENISA.

 

Perspectives 2019 : la cyberguerre continue

« La guerre cyber a commencé », a averti le 18 janvier 2019 la ministre de la défense lors de la présentation de la doctrine offensive sur l’Internet de l’armée française. La perspective d’un « Pearl Harbor numérique », un scénario où un virus informatique sèmerait le chaos et la destruction est en effet dans l’air des états-majors depuis une dizaine d’années. Plusieurs facteurs contribuent à une instabilité croissante et réelle de l’espace numérique. Cela fait craindre à court terme des dégâts d’ampleur à l’image de la paralysie du système hospitalier britannique par le virus WannaCry (et NotPetya) en 2017.


Dans un monde de plus en plus numérique et connecté, des réseaux de transport ou d’énergie aux « smart cities », en passant par un nombre croissant d’usines et de chaînes de production, les cyber-risques sont désormais généralisés et en tout lieu. Mais c’est aussi le déploiement de la 5G en France et le cas « Huawei » qui va encore plus certainement attirer la médiatisation sur l’expertise de l’ANSSI. L’opérateur chinois, source d’inquiétude de nombreux gouvernements européens en raison du risque d’espionnage, va devoir passer le check-up de l’ANSSI pour vendre ses matériels aux opérateurs téléphoniques français (ex : routeurs).


L’enjeu est donc tout autant sécuritaire que géostratégique. Il entre dans les fonctions régaliennes de l’Etat de se préoccuper de la sécurité du déploiement d’un réseau aussi vital pour la société. En 2019, si la cybersécurité demeure encore et toujours l’affaire de tous, il appartient à l’ANSSI de nous guider face aux menaces.


Eric A. CAPRIOLI, Avocat à la Cour de Paris, Docteur en droit, membre de la délégation française aux Nations Unies, Vice-Président du CESIN, Société d’avocats membre du réseau Jurisdéfi


Les avis d'expert sont rédigés sous la seule responsabilité de leurs auteurs et n'engagent en rien la rédaction de L'usine digitale.
 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale