Compte-rendu de la conférence JSSI 2015

Date : 07 Mars 2015

La 14ème édition de la conférence JSSI (Journée de la Sécurité des Systèmes d'Information), organisée par l’OSSIR (Observatoire de la Sécurité des Systèmes d'Information), s’est déroulée à Paris le 10 mars 2015. Comme les années précédentes, elle a réuni une centaine de participants. Nous faisons ici un compte-rendu des différentes présentations. Le programme complet et les présentations sont disponibles sur le site de la conférence.

Cette année, le thème de la conférence était « Quel avenir pour la souveraineté française  en SSI ? ».  Les différentes interventions de la journée ont permis d’aborder ce thèmes sous des angles très complémentaires, avec en particulier lors de la matinée : la présentation du point de vue gouvernemental par l’ANSSI, un retour d’expérience sur l’audit de sécurité de produits français, et une analyse géopolitique des atouts de la France en matière de souveraineté en SSI.

 

Quel avenir pour la souveraineté française en SSI ? (Vincent Strubel – ANSSI)

Selon l’orateur, pour garantir sa souveraineté, la France doit faire face :

  • De manière immédiate, aux risque d’attaques cyber contre les infrastructures critiques. Ces attaques sont de 3 types : déstabilisation (par exemple la vague de défigurations de sites web français après les attentats Charlie-Hebdo  ou à l’attaque subie aux US par Sony Picture Entertainment), espionnage, et sabotage.
  • A moyen et long termes, à la menace d’une perte d’indépendance face à deux blocs mondiaux forts : Les Etats-Unis qui dominent le domaine du logiciel, et l’Asie qui domine le domaine du matériel.

Elle doit donc travailler sur deux axes :

  • La protection des ressources critiques,
  • Le développement d’une offre nationale dans le domaine des produits et des services.

L’orateur identifie les technologies clés qu’une offre nationale doit maitriser : La crypto, le matériel, le système d’exploitation et la détection d’intrusions. En termes de services, les éléments clés sont l’audit SSI, la réponse sur incident et  l’hébergement de données.

L’état des lieux par rapport à ces enjeux est mitigé.

  • En termes de protection, la situation est très bonne pour les domaines les plus sensibles (par exemple le classifié défense), en cours d’amélioration pour les secteurs critiques (la Loi de Programmation Militaire va en particulier imposer des obligations à ce secteur), mais inexistante pour le reste (les PME de secteur non OIV ou les particuliers ne sont pas protégés).
  • Pour ce qui est de l’offre technologique et de services, des atouts existent (le domaine de la crypto) mais l’offre reste de façon générale trop faible en termes de produits et de services, probablement parce que la demande pour cette offre n’est pas assez  appuyée.

Par rapport aux domaines technologiques clés, l’orateur dresse le panorama suivant :

  • La crypto est parfaitement maitrisée,
  • Le matériel est hors de portée (impossible d’imaginer une offre matérielle nationale),
  • Le système d’exploitation : en l’absence d’une offre nationale, il faut s’appuyer sur l’offre Open-source,
  • La détection d’intrusions : des offres crédibles sont en train d’émerger.

Pour l’avenir, la France doit

  • Concentrer ses efforts pour réussir la mise en œuvre de la LPM.
  • Développer son offre de produits en s’appuyant sur la certification.
  • Développer les acteurs, en particulier dans le domaine de la sécurité SCADA, des IDS et de la protection des données personnelles.
  • Développer les collaborations européennes, et en particulier les collaborations avec l’Allemagne.
  • Adresser le secteur des PME avec des offres adaptées du type « PME box » (boite tout en un facile à brancher) ou « Cyber security as a service » (offre Cloud).

 

Présentation du système d'exploitation sécurisé CLIP (Vincent Strubel – ANSSI)

CLIP est un système d’exploitation sécurisé développé par l’ANSSI. Ce projet a été démarré en 2005 par la DCSSI. Il est déployé depuis 2009 sur plusieurs centaines de postes (à l’ANSSI, au Ministère de la Défense et chez quelques OIV).

CLIP est basé sur un système Linux durci (basé sur Gentoo avec des paquetages Debian). Il implémente des compartiments étanches et l’environnement par défaut contient : un compartiment connecté à Internet et un compartiment connecté à un réseau interne. Il inclut également un système de mise à jour logicielle en  utilisant un 3eme compartiment qui a, lui, accès au réseau d’administration de CLIP.

Nota : CLIP est comparable à d’autres OS compartimentés comme Qubes os  (ou même Chrome os).

CLIP n’est pas un produit sur étagère. Il nécessite un environnement réseau (infrastructure d’administration et de mise à jour) et une formation des utilisateurs. Il est diffusé sous contrôle du gouvernement, au sein de l’administration et de partenaires industriels. Certaines parties du code source sont classifiées.

 

Les produits de sécurité français vus des tranchées (Nicolas Ruff)

L’orateur présente un retour d’expérience sur les audits de sécurité qu’il a effectués, au cours des 15 dernières années, sur des produits français. Il donne de nombreux exemples de vulnérabilités découvertes dans ce cadre, y compris dans des portails gouvernementaux ou dans des produits certifiés CSPN. Il indique que personne n’a jamais été au courant de ces vulnérabilités, car il n’y a eu aucune publication, même après correction des problèmes. Pour lui les produits français sont des boites noires d’un point de vue sécurité. Il estime que l’on ne peut pas croire qu’un produit est sûr parce qu’il est français ou parce qu’il a obtenu un label sécurité non documenté (i.e. sans documentation sur les contrôles effectués).  Il pense qu’un produit est bon d’un point de vue sécurité si :

  • Il repose sur de bons choix techniques et sur le suivi des bonnes pratiques de développement.
  • Il dispose d’une équipe de sécurité dédiée qui publie des avis de sécurité, voir même qui encourage les chercheurs externes à remonter les vulnérabilités découvertes (par exemple au travers d’un programme « bug-bounty »).
  • Il a été testé par des experts indépendants et que les résultats ont été publiés.
  • Il remporte des marchés et s’impose dans les benchmarks.

 

Révolution cyberindustrielle et facteurs de cyberpuissance (Laurent Bloch – IFAS)

L’orateur explique que l’industrie a connu 3 révolutions industrielles : l’arrivée de l’acier, puis celle des moteurs et de l’électricité et enfin l’informatique. Ces révolutions impliquent des changements radicaux et ceux qui ne s’y adaptent pas sont condamnés à mourir. La révolution cyber industrielle induit des changements importants du point de vue :

  • Du modèle de financement : en informatique la grande majorité du capital est investi lors de la conception du produit (car il n’y a pas de coût de fabrication).
  • Du modèle de la concurrence entre acteurs. Le marché informatique repose sur le modèle du monopole : chaque secteur logiciel a son leader et un nouvel acteur ne peut se faire une place sur le marché qu’en prenant la place du leader.

L’orateur pose ensuite la question du contrôle du cyberespace et montre que les Etats-Unis sont aujourd’hui dominants dans ce secteur. Si l’on regarde quels sont les éléments qui ont permis à l’Angleterre d’être la première puissance maritime au 19eme siècle, et que l’on transpose ces éléments au cyberespace, on voit que les Etats-Unis ont en main tous les atouts pour dominer ce territoire.

L’orateur pense que, tout comme on ne pouvait pas imaginer être une puissance maritime sans avoir de chantier naval, on ne peut pas non plus être une puissance de l’âge de l’informatique sans avoir la capacité de fabriquer des processeurs.  Sur ce point, il attire l’attention sur les atouts dont dispose la France, et qui sont souvent ignorés : ST Microelectronics, Altis semiconductor (pour la fabrication de composants),  et Dassault System (dans le domaine du logiciel). Il mentionne aussi de jeunes acteurs souvent ignorés comme OVH, Iliad ou Gandi.

 

Les nouvelles atteintes aux STAD (Alain Bensoussan)

Nota : STAD est l’abréviation de « Système de Traitement Automatisé de Données ». C’est l’expression consacrée en droit pénal pour désigner les systèmes informatiques.

L’orateur (qui est avocat) explique les changements qui sont intervenus en novembre 2014 (avec la parution de la loi 2014-1353 renforçant la lutte contre le terrorisme) sur l’article 323-3 du code pénal (Loi Godfrain). Il s’agit de l’ajout de 4 mots dans cet article pour qualifier l’atteinte aux données : le faite « d’extraire, de détenir, de reproduire, de transmettre » des données est désormais explicitement puni.

Auparavant, en l’absence de ces mots, on utilisait les notions floues de « vol de données » ou « d’abus de confiance » qui sont punis par d’autres articles de lois. Ceci n’est désormais plus nécessaire.

Note : voir cet article pour plus d’information : http://www.alain-bensoussan.com/vol-de-donnees-article-323-3-code-penal/2015/02/24/

 

Solutions de sécurité françaises ou européennes (Pascal Sitbon - Seclab)

L’orateur est le dirigeant d’une petite société qui conçoit et commercialise des produits de sécurité conçus pour les systèmes SCADA et qui s’appuient sur des mécanismes de sécurité hardware. Il propose par exemple une « data diode » qui  garantit un transfert unidirectionnel  de données entre 2 systèmes.  Sa présentation donne un retour d’expérience sur l’industrialisation d’un produit SCADA. Il explique en particulier que :

  • 80% de l’investissement est pour l’industrialisation, la promotion et la commercialisation du produit : le reste (les coûts de R&D) est donc faible en proportion sur ce type de produit.
  • Le produit étant conçu et  fabriqué en France, il n’y a pas de barrière technique pour le marché français (pas de risque de type cyber-piégeage).
  • Difficile de convaincre le 1er acheteur. Une fois que le produit a été vendu aux USA, il a été plus facile d’intéresser d’autres  acteurs.

 

La Loi de Programmation Militaire pour un petit OIV (B. Joucreau et C. Renard - HSC)

L’article 22 de la Loi de Programmation Militaire impose des obligations aux OIV (Opérateur d’Importance Vitale), sur la mise en œuvre de mécanismes de sécurité, les audits et la déclaration des incidents. Dans ce cadre, les orateurs présentent :

  • Un historique des incidents connus ayant touché les systèmes SCADA.
  • Un point sur l’organisation des infrastructures critiques en France : SAIV (Secteurs d’Activité d’Importance Vitale), OIV, PIV (Point d’Importance Vitale), ZIV (Zone d’Importance Vitale). La liste des organismes appartenant à chaque catégorie est confidentielle. Il existerait 218 OIV
  • Un point sur la LPM. La LPM a été adoptée en décembre 2013 et les décrets d’applications étaient attendus pour l’automne 2014. Ils viennent d’être publiés sur le site de l’ANSSI.
  • Les difficultés de la mise en œuvre d’actions de sécurisation dans un système industriel : hétérogénéité des matériels, l’absence de prise en compte de la sécurité dès la conception, l’obligation de fiabilité, la dépendance à des équipements tiers. Sur ce dernier point par exemple, les orateurs expliquent que la fourniture de turbines à gaz dépend de 4 fournisseurs dans le monde : toutes les installations industrielles ayant besoin de turbines à gaz dépendent donc de l’un des ces 4 fournisseurs.

 

Interrogations sur la souveraineté numérique (Stéphane Bortzmeyer)

L’orateur présente une série de réflexions sur ce qu’est la souveraineté et sur les expériences que l’on a de ce sujet. Il parle dans ce cadre:

  • Du « Cloud souverain » et de l’expérience qu’il juge ratée du projet Andromède (2011) qui a donné ensuite naissance aux deux initiatives parallèles : Cloudwatt (par Orange et Thales) et Numergy (par SFR et Bull).
  • Des organismes de normalisation comme l’IETF. Les USA dominent ces travaux, mais la France est aussi présente. Peu des sujets traités concernent la souveraineté, mais le sujet de l’internationalisation des normes (support des jeux de caractères non ASCII) est l’un d’eux. Ce sujet est maintenant bien acquis. Le nouveau sujet à promouvoir au sein de cette instance serait maintenant la défense de la vie privée.
  • La défense de la vie privée. La France (et plus généralement l’Europe) doit s’impliquer dans la défense de la vie privée car les USA n’ont pas la même culture sur ce sujet. Les grands acteurs dominants (le GAFA : Google, Apple, Facebook et Amazon) sont tous américains, et l’Europe doit s’organiser pour convaincre ces poids lourds de prendre en considération la volonté de l'Europe de défendre la vie privée.

L’orateur conclut que, plutôt de chercher à définir la souveraineté,  il serait plus simple et plus clair de définir : qui décide, qui contrôle et qui surveille. Faut-il que ce soit l’état, le citoyen ou les entreprises ?

 

Conclusion :

Le thème de la journée (la souveraineté) était plutôt complexe et théorique, mais le comité de programme a réussi à relever brillamment le défi en proposant des interventions cohérentes et intéressantes. C’est la première fois que la JSSI abordait un sujet géopolitique, et cela montre bien l’évolution du cyber dans la société. On est passé en quelques années de problèmes plutôt techniques, à des enjeux d’entreprise (par exemple gérer la mobilité des employés), puis à des enjeux stratégiques au niveau des états.

Précedent Précedent Suivant Suivant Imprimer Imprimer