Les Risques de Cybersécurité dans les domaines civil et militaire – Entretien avec le Dr Stéphane Mortier, Expert en Cybersécurité et intelligence économique

Interview publiée le 07 Mars 2020

Centre Algérien de Diplomatie Économique : Bonjour Dr Stéphane Mortier, avant d’entamer le fond de l’interview, pourriez-vous vous présenter auprès de nos lecteurs ?

Stéphane Mortier : Bien que je sois adjoint d’un service d’intelligence économique dans une grande administration française, c’est au titre de mes activités associatives et de recherche que je m’exprime devant vous. J’ai un profil assez atypique : j’ai commencé ma carrière en Belgique comme conseiller en entreprise dans un service chargé du développement transfrontalier des entreprises, puis j’ai rejoint une grande institution régalienne française partie prenante de la politique publique d’intelligence économique. Dans ce cadre, les questions de cybersécurité se sont très rapidement posées et ont pris une dimension considérable au fil des ans. En sus de cela je me suis particulièrement intéressé aux relations entre l’intelligence économique et le droit des affaires en Afrique (Droit OHADA – Organisation pour l’Harmonisation en Afrique du Droit des Affaires). Après un parcours initial en sciences politiques, en sociologie et en politique internationale à l’Université libre de Bruxelles, complété par l’École de Guerre Économique à Paris, où j’enseigne depuis quelques années, j’ai enfin terminé le cycle avec un doctorat en sciences de gestion de l’Université Paris 1 Panthéon-Sorbonne. L’hétérogénéité qui pourrait transparaître de ce parcours académique et professionnel s’est révélée être un atout particulièrement pertinent pour aborder les questions de maîtrise des environnements immatériels des acteurs économiques ou institutionnels, y compris l’environnement cybernétique.

CADE : Les risques en matière de Cybersécurité se trouvent dans le domaine civile et militaire.

I – Concernant le domaine civil (dont économique) :

  • Pourriez-vous nous citer (cartographier) les différents risques cyber dans le domaine civil ?

Stéphane Mortier : Dans le domaine civil, entendons du citoyen à l’entreprise en passant par les institutions, les associations,… les risques ou les menaces sont protéiformes mais plusieurs tendances se dessinent toutefois. Parmi d’autres menaces plus techniques (attaque par déni de service,…), je dirai que quatre risques tiennent le dessus du pavé : l’hameçonnage, les escroqueries au faux virement international, les rançongiciels et la prédation sur les données personnelles.

L’hameçonnage n’est autre qu’une technique qui permet au cybercriminel d’obtenir des informations confidentielles (identifiants, mots de passe, données bancaires,…) pour usurper l’identité de sa victime. Nous en avons tous été victime, qui n’a jamais reçu un mail des services fiscaux ou de sa banque lui demandant de rentrer ses identifiant et mots de passe sous prétexte d’une mise à jour du système informatique ou autre argument fallacieux ? C’est de l’hameçonnage et il concerne tant les personnes physiques que les personnes morales.

Quant aux escroqueries au faux virement international (FOVI), également appelée fraude au faux président, elles touchent plus particulièrement les entreprises. Le mode opératoire est relativement complexe et demande une préparation plus ou moins longue et très fine de la part du cybercriminel. Ce type d’escroquerie impose un travail de recueil d’informations très important et de recourir aux techniques d’ingénierie sociale (obtenir frauduleusement un comportement de la part d’un individu par la manipulation). Le cybercriminel, après avoir collecté une foule d’informations sur l’entreprise qu’il cible (lignes directes, agenda du chef d’entreprise, organigramme,…) va appeler le service comptable de l’entreprise en se faisant passer pour le directeur général et demander à ce qu’un virement bancaire soit fait en toute urgence dans un cadre inventé de toute part par le cybercriminel (souvent l’acquisition d’une petite entreprise à l’étranger, une commande exceptionnelle,…). Manipulée au téléphone, la personne en charge de la comptabilité s’exécute… La tendance actuelle est d’autant plus sournoise que le cybercriminel appelle en visio via WhatsApp en ayant trafiqué les images : la victime échange en visio avec son patron qui n’est en réalité qu’une sorte d’hologramme !

Les attaques par rançongiciel consistent en une prise en otage des données de la victime. Une rançon est alors demandée pour les libérer ! Un logiciel malveillant va crypter les données de la victime et une rançon, généralement en Bitcoin, est demandée en contre-partie de la clé de déchiffrement. Il va de soi que généralement, même après paiement de la rançon, la clé de déchiffrement ne vient jamais… On estime les revenus des cybercriminels à plusieurs centaines de millions de dollars par an avec ce type d’attaque.

Enfin la prédation sur les données personnelles. Les données personnelles ont une valeur, elles peuvent donc être convoitées. Données médicales, données financières, données professionnelles,… Toutes ont un intérêt pour quelqu’un et doivent faire l’objet d’une protection particulière. En Europe, l’entreprise ou l’institution qui gère des données personnelles doit aujourd’hui se conformer au règlement général sur protection des données (RGPD – règlement européen du 27 avril 2016, applicable depuis le 25 mai 2018). Il faut souligner que ce règlement a une portée extraterritoriale, c’est-à-dire que tout gestionnaire de données personnelles, s’il traite des données d’un citoyen européen ou d’un non-européen situé dans l’Union européenne, doit se conformer aux dispositions du RGPD. Cela démontre l’intérêt des pouvoirs publics de protéger les données des citoyens. C’est aujourd’hui un impératif de sécurité.

CADE : Les administrations, les entreprises et les particuliers constituent des cibles potentielles face aux multiples cyber menaces. Existe-t-il une approche proactive (Cyber résilience) permettant aux acteurs civils de protéger leurs systèmes et de garantir leur confiance dans le numérique ?

Stéphane Mortier : Comme nous venons de le décrire, tant les personnes physiques que les personnes morales constituent des cibles. Si l’on pose la question de la cyber résilience, et à mon sens c’est un devoir de la poser, il faut aller au-delà de la capacité de se rétablir et de continuer à fonctionner, à vivre, après une cyberattaque. Il ne faut pas attendre d’être victime pour agir. Le contexte dans lequel l’individu ou l’entreprise évolue peut pousser à ce type de résilience. Je pense au contexte juridique et notamment au RGPD que nous venons d’évoquer. Celui-ci impose d’agir, impose de se conformer pour éviter de faire des victimes. La confiance dans le numérique ne peut voit le jour que dans un cadre de sécurité numérique. L’offre de cybersécurité doit contribuer à ce climat de confiance et cette offre ne doit pas uniquement être technique (produits de cybersécurité) mais également juridique, éducationnelle, sociétale. Le cyberespace fait partie de l’environnement sociétal des individus et des entreprises, il convient donc de le connaître et de l’aborder comme un élément, nouveau et parfois imperceptible, de notre environnement. Comment avoir confiance en quelque chose que nous ne connaissons et ne maîtrisons pas ?

CADE : En ce qui concerne le monde des entreprises, les grands groupes sont nettement mieux protégés que les PME (qui sont plus vulnérables et moins sensibilisées aux risques Cyber). Comment peut-on réduire ces risques et leurs impacts ?

Stéphane Mortier : En effet, les PME ne disposent pas toujours des moyens nécessaires pour se protéger de façon optimale. Réduire le risque est alors fondamental pour elles. Je suis intiment convaincu qu’au travers de la sensibilisation il est possible de réduire par deux ou par trois, voire plus, le risque cyber. Bien que le cyberespace puisse sembler flou et sans repère physique, celui qui l’utilise, qui s’y promène en quelque sorte, reste un être humain. Par conséquent la faille reste l’utilisateur. Des personnels sensibilisés sont des personnels conscients des risques et donc plus prudents. Adopter des comportements simples permet d’éviter bien des déboires. A titre d’exemple : verrouiller sa session lorsqu’on quitte le bureau, changer régulièrement de mot de passe, ne pas s’exposer outre-mesure sur les réseaux sociaux, ne pas ouvrir une pièce-jointe lorsqu’on est pas certain de l’expéditeur, signaler les anomalies,… Bref, une forme d’hygiène informatique !

Bien entendu le risque zéro n’existe pas et la cyberattaque reste toujours possible. Il convient alors d’en limiter l’impact. Réagir sera beaucoup plus fluide si les personnels sont sensibilisés. Sauvegarder quotidiennement les données de l’entreprise sur des supports hors réseau s’avère également être une sécurité sans pareil, particulièrement en cas d’attaque par rançongiciel.

CADE : Au regard de vos fonctions dans une grande institution régalienne française, pourriez-vous nous parler du plan de prévention contre les risques numériques impactant le tissu des PME en France ?

Stéphane Mortier : La prise en compte du risque numérique de façon globale par les pouvoirs publics en France, dans le cadre de la prévention, est particulièrement important mais la menace étant mouvante, un recentrage constant est nécessaire. Pour les grands opérateurs économiques, généralement ils disposent des compétences et des moyens pour se protéger. Les opérateurs d’importance vitale peuvent compter sur le soutien et l’expertise de l’Agence National de la Sécurité des Systèmes d’Informations (ANSSI). Cette dernière propose également des livrables et des conseils aux PME (voir https://www.ssi.gouv.fr/ ). Globalement le tissu des PME françaises ont a disposition des guides de sensibilisation réalisé par divers services publics. Mais force est de constater que l’information circule mal et que cette forme de sensibilisation ne porte que peu ses fruits. Malheureusement ce sont les PME qui ont subi une cyberattaque qui prennent conscience de l’ampleur du phénomène. Il faut toutefois souligner les actions de prévention menées par la Gendarmerie nationale, dans un cadre plus global certes, mais particulièrement intéressantes au travers du Jeu des 8 familles d’atteintes à la sécurité économique (https://inhesj.fr/formations/ressources-pedagogiques/kit-de-sensibilisation ). Depuis quelques années maintenant une plateforme de signalement des cyberattaques a été mise en place https://www.cybermalveillance.gouv.fr/ mais qui est plutôt un dispositif d’aide aux victimes. Par contre sont disponibles sur cette plateforme des conseils, des bonnes pratiques. D’une façon globale le dispositif de sensibilisation existe et est opérationnel mais des efforts restent à faire en matière d’effectivité du dispositif.

II – Concernant le domaine militaire :

Stéphane Mortier : Là nous changeons totalement de portage, les enjeux sont différents et la façon de les appréhender également. Comme le dit l’adage « la meilleure défense c’est l’attaque », dans le domaine militaire la question « cyber » revête tant des aspects défensifs qu’offensifs.

CADE : L’utilisation de plus en plus importante d’équipements électroniques au sein de l’Armée accroît les risques cyber, qui deviennent plus fréquents et sophistiqués. Quelle approche est adoptée par l’Armée française pour lutter contre ces menaces d’un genre nouveau ?

Stéphane Mortier : Comme vous le spécifiez les armées, la Défense utilise et est responsable de systèmes stratégiques de plus en plus complexes et sophistiqués fonctionnant dans un environnement numérisé. Par conséquent la dimension cyberdéfense s’impose naturellement. La mise en péril de ces systèmes serait une atteinte à la sécurité nationale. Comme le rappelle le Ministère de la défense, la cyberdéfense regroupe l’ensemble des activités conduites afin d’intervenir militairement ou non dans le cyberespace pour garantir l’effectivité de l’action des forces armées, la réalisation des missions confiées et le bon fonctionnement du ministère. C’est en ce sens que le COMCYBER a été crée en 2017, organisation un peu singulière dans le paysage international mais correspondant aux besoins opérationnels des armées françaises, traitant à la fois de la lutte informatique défensive et offensive. Notons également la participation de l’ANSSI à la cyberdéfense française.

CADE : Le commandement de la cyberdéfense est considéré comme le siège de la quatrième armée française. Quel est le rôle du « Comcyber » dans cette lutte informatique sans frontières apparentes ?

Stéphane Mortier : Comme brièvement évoqué, le COMCYBER exerce deux missions principales :

– La protection des systèmes d’information critiques ;

– La conception, la planification et la conduite des opérations militaires cyber ;

En dehors de cela, comme toute unité, le COMCYBER gère la doctrine, les moyens techniques, humains….etc.

Le COMCYBER c’est surtout plus de 3000 personnes dans trois services : le CALID (Centre d’analyse en lutte informatique défensive) qui préexistait au COMCYBER, le CASSI (Centre d’audits de la sécurité des systèmes d’information) et le CPROC (Centre de la réserve et de la préparation opérationnelle de cyberdéfense).

L’ensemble contribue aux missions défensives et offensives.

CADE : Serait-il possible de nous donner des exemples de menaces cyber déjouées grâce aux efforts émanant du cyber commandement ?

Stéphane Mortier : C’est difficile à dire et je dirai même que nous ne savons pas ce qui a pu être déjoué, cela est sous le sceau du secret de la défense nationale. Mais ce qu’il est possible d’avancer c’est le professionnalisme et la compétence des équipes du COMCYBER. En 2018, dans le cadre de l’exercice annuel de cyberdéfense organisé par l’OTAN, plus particulièrement par le Coopérative Cyber Defence Center of Excellence (CCDCOE), les personnels du COMCYBER se sont classés deuxième. Je pense que cela se passe de commentaires, le résultat parle de lui-même ! Cela conforte d’ailleurs le statut de quatrième armée française !

III – Question internationale :

CADE : Le terrorisme international constitue une menace universelle. Faut-il penser à une coalition internationale de lutte contre le cyber terrorisme ? Si, oui, comment voyez-vous son fonctionnement ?

Stéphane Mortier : Effectivement on assiste à une forme de cyberterrorisme qui n’est une forme de terrorisme rempruntant d’autres vecteurs. La menace étant universelle, idéalement la réponse devrait être universelle également. Je pense que le cadre de l’OTAN répond relativement bien à cette menace. Il ne faut pas voir l’OTAN composé de ses États membres, mais l’OTAN avec le Partenariat pour la paix, le dialogue méditerranéen (dont l’Algérie), l’initiative de coopération d’Istanbul et le partenariat global. On couvre alors 50 % de la planète ! Là on peut disposer de moyens de lutte intégrés d’une force, d’une capacité, considérable. Est-ce la meilleure coalition possible, je ne peux pas l’affirmer mais je pense que c’est une piste de choix.

Il est probable qu’au-delà de la cyberdéfense, la cybersécurité, les comportements des utilisateurs soient également des vecteurs de lutte ou au moins des freins au cyberterrorisme. Il n’y a jamais eu de défense sans citoyens, il n’y aura donc pas de cyberdéfense sans cyber citoyens !

Interview réalisée par l’équipe du Centre Algérien de Diplomatie Economique

Vous pouvez aussi nous suivre sur :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Résoudre : *
24 − 3 =


Email
Facebook
Twitter
LinkedIn