La lettre de Frédéric Simottel n°13
| 🚀La souveraineté, une marque de puissance crédible. Encore faut-il savoir de quoi l’on parle ! |
|
| La lettre de Frédéric Simottel n°13 |
|
| Pour mieux comprendre les enjeux de souveraineté, quoi de mieux que de passer quelques jours au salon international de l’aéronautique et de l’Espace du Bourget (19-25 juin) … – Frédéric Simottel |
|
| Souveraineté industrielle, cloud souverain, cloud de confiance, cyber résilience, cyber solidarity act, etc autant de termes régulièrement utilisés pour qualifier les enjeux de souveraineté propres à renforcer notre autonomie et notre indépendance numérique vis-à -vis des acteurs étrangers, américains notamment. La souveraineté, c’est une marque de puissance crédible ! |
|
| Problème, dès que l’on parle de recherche de performance, de rapidité dans l’exécution opérationnelle, d’agilité, Beaucoup d’entreprises semblent « lâcher l’affaire ». Certaines un peu ; d’autres beaucoup. Manque de moyens financiers, de compétences, de soutien hiérarchique, de volonté de prise de risques, les raisons sont multiples. Du coup, tout le monde tente de justifier ses propres interprétation et définition de la souveraineté. Et au final, nous n’y sommes pas. |
|
| Une prise de conscience qui date de 2014 |
|
| Sauf pour ceux qui se sont posés les bonnes questions il y a déjà un moment. Un exemple avec Nanoxplore, une PME spécialisée dans la conception de microprocesseurs reprogrammables à forte capacité de traitement. Durcis aux radiations, ses puces électroniques sont destinées à l’industrie spatiale. Née en 2010, entre Montpellier et Paris, Nanoxplore démarre son activité en 2014, en signant avec le Centre national d’études spatiales (Cnes) et l’Agence spatiale européenne (ESA). Un double objectif guide ces acteurs : se défaire des acteurs américains et disposer de ses propres composants critiques… souverains. 10 ans plus tard, après des millions d’euros investis en R&D, un accord avec STMicroelectronics et des contrats signés avec Airbus ou tout récemment avec Thales Alenia Space viennent récompenser cette stratégie. La qualité de la technologie, la volonté d’y aller, l’abnégation et la confiance gagnée au cours de toutes ces années, entre tous ces acteurs posent les premières pierres de cette souveraineté souhaitée. (Un exemple à méditer pour le monde industriel « terrien »). |
|
| Le collaboratif et la maîtrise des données, des piliers fondamentaux |
|
| Autre cas d’école avec le partenariat signé entre Dassault Aviation et Dassault Systèmes. Le premier va utiliser la plateforme 3DExperience sur le cloud du second, pour développer son Système de Combat Aérien du Futur (Scaf). Certes l’accord est signé entre ces deux acteurs sont de très proches cousins. Il n’empêche, l’un comme l’autre ont compris que pour ce type de projet, ce type de données il fallait un cloud à haut niveau de sécurité, souverain et maîtrisé sur le territoire européen. Cette façon de faire pourrait influencer d’autres porteurs de projets dans la santé, les services publics, voire l’énergie ou encore les transports. Au-delà de l’aspect technologie, ce qui ressort ici porte sur la volonté de créer et de travailler sur un environnement cloud souverain qui laisse la part belle aux développements de programmes de défense collaboratifs, avec une maîtrise des données et des applicatifs. |
|
| Le partage en temps réel |
|
| Le dernier exemple concerne justement le Scaf. Doté de tout un arsenal d’outils numériques, ce système d’information de combat devrait intégrer la bulle Scorpion (Synergie du Contact Renforcée par la Polyvalence et l’Infovalorisation). Mise en œuvre par la DGA, cette technologie a été créée pour le combat collaboratif ; c’est-à -dire le partage d’informations entre les blindés, les fantassins, artilleurs, mais aussi les hélicoptères, robots terrestres, drones et même les frégates de défense et d’intervention. Ils communiquent à tout moment entre eux via un Cloud, une sorte d’intranet mobile et modulable qui recueille et partage les informations obtenues sur le terrain par l'ensemble des forces en présence dont chaque élément est équipé de capteurs. Ici c’est le temps réel, le mode collaboratif, la possibilité de passer en mode dégradé en cas d’incident. |
|
| Au final, ce sont toutes ces prérogatives en provenance des industriels de l’espace, de l’aéronautique et de la défense qui devraient inspirer toutes les autres industries pour mettre enfin au point une définition claire de la souveraineté. |
|
| - 2 milliards d'euros : tel est Le coût estimé des cyberattaques en France en 2022 selon une étude du cabinet Asterès |
|
| La fréquence et le coût des attaques d’ingénierie sociale grimpent en flèche |
|
| Verizon Business publie les résultats de son 16ème rapport d’enquête annuel sur les violations de données (DBIR - Data Breach Investigations Report, 2023), qui a analysé 16 132 incidents de sécurité et 5199 violations de données. Le fait le plus marquant est sans doute la considérable augmentation des coûts liés aux ransomwares – des logiciels malveillants (malwares) qui chiffrent les données d’une organisation afin d’extorquer une rançon en échange du rétablissement de l’accès. |
|
| LeCESIN pointe les limites du Cyber Rating quant à une évaluation de la maturité des entreprises en matière de cybersécurité par les agences de notation. |
|
| Bien que l'idée d'utiliser une note globale pour évaluer la posture de cybersécurité des entreprises soit attrayante, il reste encore de nombreux points à améliorer pour en faire un outil réellement utile aux responsables de la cybersécurité. |
|
| La manière dont ces notes sont élaborées, délivrées et communiquées nécessite une grande prudence. Car si nous voulons que les notations soient pertinentes, il est essentiel de les adapter au contexte spécifique de chaque entreprise et à leurs plans de gestion des risques. |
|
| Comme toute approche, il est important de déterminer l'utilisation de ces notes. Il convient de mesurer la maturité par rapport à des référentiels tels que ceux de l'ANSSI, l'ISO2700x, le NIST, etc., d'évaluer la performance des mesures de cybersécurité (délai de correction des vulnérabilités, efficacité des règles de protection, de détection et de réaction) et de prendre en compte le niveau de risque Cyber. Il est crucial de définir le périmètre pris en compte, que ce soit l'ensemble des actifs informatiques d'une entreprise accessibles depuis Internet, un site web, une messagerie, ou encore l'hébergement chez un fournisseur de services cloud. Il faut également considérer la chaîne de sous-traitance des services de confiance. |
|
| Le CESIN souligne que l'empreinte numérique d'une entreprise, qui englobe les adresses IP, les noms de domaine, les partenaires, les sites web, les API, est une source d'information précieuse lorsqu'elle est vérifiée et validée par l'entreprise concernée. L'identification de l'écosystème, ie les prestataires qui entourent cette entreprise, complète cette empreinte numérique, et ces données sensibles ne peuvent pas être manipulées sans contrainte. |
|
| Les notations publiées par l'oligopole des agences américaines ne garantissent pas leur indépendance, d’autant qu’il n’existe pas de consensus sur la véritable valeur de notation du risque cyber. Alors que le marché exige de la transparence, peut-on accorder une crédibilité impartiale à ces acteurs ? Quelle est la fiabilité des méthodes d'évaluation et quels sont leurs impacts sur les entreprises ? Les offres de Cyber Rating se multiplient en réponse à l’augmentation des crises liées à la cybercriminalité. A ce jour, n'importe quel acteur se prétendant spécialiste du Cyber Rating peut évaluer la cybersécurité d'une organisation sans la prévenir et sur un périmètre non vérifié. Ces notations peuvent ensuite être vendues, partagées avec des tiers (concurrents, autorités...) et même rendues publiques. |
|
| Le CESIN suggère la mise en place d'un référentiel afin d'encadrer l'émergence de notations claires et transparentes, basées sur des méthodes et des critères reflétant fidèlement et de manière reproductible le niveau de maturité des organisations en matière de cybersécurité. Cela garantirait la compétence des analystes et l'application du principe d'amélioration de la cybersécurité en continue. Nous recommandons de mettre en œuvre des normes et des mesures standardisées, notamment pour rationaliser la communication auprès des comités exécutifs et des conseils d'administration, et afin de favoriser le développement d’agences de notation européennes. |
|
Par le CESIN (Club des Experts de la Sécurité de l'Information et du Numérique)*
Site web |
|
A ne pas manquer sur le web |
|
| Le patron technique de la DGSE interrogé par Tech & Co |
|
| Tirer les vers du nez d’une intelligence artificielle. On appelle cela une attaque par oracle. Pour les éviter, les experts estiment qu’il faut durcir les moteurs d’IA ? Suivez ce thread Twitter repéré par Gérôme Billois, expert cyber chez Wavestone. |
|
| Compte Twitter :@immasiddtweets |
|
| Vous avez aimé cet article ? | | Aimez, partagez et abonnez-vous. |
|
| BFM Business Cybersécurité |
|
|
| A propos de l’auteur de cet article |
|
| Frédéric Simottel | | Éditorialiste High-Tech sur BFM BUSINESS et BFMTV. Ingénieur télécoms et réseaux de formation, ce journaliste spécialisé occupe depuis plus de 28 ans une position privilégiée en tant qu’observateur d... |
|
|
