Dans le timing des 40 ans de l’Ecole des Transmissions, Ministère de la Défense, le Général Boissan a lancé le colloque cybersécurité de Rennes le 3 juin. La star du jour a été sans discussion M. Le Drian, Ministre de la Défense, et en terrain connu puisqu’ancien Président de la région Bretagne. Il a bien sûr basé son discours sur le Livre Blanc de la Défense version 2013 qui fait la part belle à la cybersécurité.
la France passe à l'offensive
Il a rappelé les 7 priorités du gouvernement en la matière : industrie de sécurité, éducation, capacité de défense… mais il a surtout fait une déclaration qui n’est pas passé inaperçue : la France va se doter de capacités offensives en matière de cybersécurité.
Le discours officiel était jusqu’alors câblé sur des capacités exclusivement défensives. Quid de la réalité ? On ne le saura jamais. Mais maintenant la chose est officielle. Quelle sera la posture d’utilisation de ces capacités ? C’est à voir. Mais nos ennemis sont prévenus et comme la meilleure défense est parfois l’attaque… Pour plus de détail, par ici !
le programme de cet évenement
Ont suivi 3 tables rondes :
- La cybersécurité, enjeu stratégique et de développement économique.
- Menaces et choix pour les entreprises, dont la problématique spécifique des PME qui ont généralement peu de moyens à consacrer au sujet, tout en étant des cibles appétissantes.
- Et enfin une session sur quelle formation dispenser sur la sécurité ? Elle a permis de démontrer la large palette de formations en sécurité disponibles en Bretagne. Avec des postures allant de la sécurité comme vernis pour les ingénieurs généralistes de l’INSA à « je vis, mange et dors pour la sécurité » de Telecom.
le Deep Packet Inspection et la loi
La première table ronde et les questions ont permis à M. Moliner, CSO du Groupe Orange de lancer un pavé dans la marre. La salle a demandé pourquoi l’opérateur ne filtre par les maliciels qui traversent son réseau avant d’atteindre leur cible ? Il a répondu que le Deep Packet Inspection (DPI) est interdit en France pour des raisons de protection de la vie privée. CNIL et autre Code des Poste et Communications Electroniques faisant loi.
A signaler que des acteurs américains dominants du Net confirment qu’ils activent ce genre de filtrage, y compris pour des communications et des utilisateurs situés sur notre territoire régalien.
la neutralité du Net comme sujet de fond
Au-delà de l’emploi du DPI, on rentre dans le sujet sensible de la neutralité du Net. Certains lobbies insistent pour que ma modeste prose soit traitée sur le Net à égalité avec la plus grande pensée d’Arthur Schopenhauer. Et donc de quel droit étouffer un maliciel transporté par un réseau agnostique ? Quel critère retenir ? Le risque est de glisser subrepticement du nettoyage hygiénique à la censure partiale. Voir ce qui se pratique sur certains « store » qui appliquent une politique de sélection non publique… dans l’intérêt des internautes.
Comme toujours la sécurité est une question d’équilibre et aucune solution n’est parfaite. Et trouver le bon réglage entre neutralité du Net et élimination de codes malveillants sera un travail pour les techniciens mais surtout pour les juristes, et une affaire d’éthique.
On a terminé par une page de publicité pour la cyberréserve citoyenne du rapport Bockel. En indiquant qu’elle sera complétée par une cyberréserve opérationnelle qui vous permettra d’aller remonter les serveurs de votre mairie attaquée par des cyberterroristes.
Bref, engagez vous à titre bénévole pour assister la nation face aux cybermenaces.
Eric
crédit photo : copyright rudall30 - Fotolia.com
Je suis Chief Security Officer pour Orange Business et adore les systèmes de management de la sécurité de l'information et autres boucles PDCA. Mon but est d'obtenir le meilleur cocktaïl d'humains, process et outils pour faire tourner de l'oeil les hackers. Je donnerais ma main droite pour une Déclaration d’Applicabilité de la certification ISO 27 001 avec les bons controles et justificatifs.