Conférence de Potsdam sur la cybersécurité
Les réseaux étatiques et d’entreprises sont confrontés à une menace croissante de la part d’acteurs aux profils et motivations variés. C’est dans le contexte des révélations d’Edward Snowden il y a un an et des récents vols massifs de données d’identification touchant des citoyens allemands que s’est déroulée la Conférence de Potsdam sur la cybersécurité nationale le 19 mai 2014. Des actions sont envisagées par le gouvernement fédéral : le cadre législatif devrait être renforcé, amenant les entreprises à un niveau standard de sécurité minimal sur leurs infrastructures critiques. La proposition de rendre obligatoire le signalement des attaques majeures que subissent les entreprises, déjà discutée l’année passée, ne fait en revanche toujours pas l’unanimité. La question du développement massif des logiciels critiques au niveau national voire européen s’est également posée.
Crédits : Balefire9
Une conférence se déroulant dans un contexte particulier : les révélations de Snowden et les vols massifs de données d’identification
La seconde Conférence sur la cybersécurité nationale s’est tenue le 19 mai 2014 à l’Institut Hasso Plattner (HPI) de Potsdam (centre de recherche sur les TIC créé et financé par le co-fondateur de l’entreprise SAP). Elle a été organisée conjointement par deux instituts, le HPI et l’Institut pour la société et la sécurité du Brandebourg (BIGS), dans le but de mettre en relation les mondes économique, politique et scientifique sur la thématique de la sécurité des systèmes d’information.
Depuis la conférence de l’année passée (juin 2013), deux évènements d’importance se sont déroulés. D’une part, les révélations d’Edward Snowden sur les agissements de la NSA, qui ont largement influencé les discussions lors de cette édition, dans le contexte actuel de négociation du traité de libre-échange transatlantique. D’autre part, des vols massifs de données d’identification visant à la fois des entreprises et des particuliers ont eu lieu ces derniers mois en Allemagne.
En ouverture, Christoph Meinel, directeur du HPI, a indiqué que selon lui, les systèmes de protection actuels ne sont pas suffisants pour reconnaître les cyberattaques. Le chercheur a insisté sur la sensibilisation fondamentale lors de l’usage de certains services avec gestion de données. Il a également présenté les outils que propose son institut aux particuliers ou aux entreprises :
– Une plateforme [1] ouverte l’an dernier, répertoriant automatiquement les vulnérabilités logicielles connues, en se basant sur les données fournies par les fabricants de logiciels et les sites spécialisés ;
– Un portail « HPI Identity Leak Check » [2], permettant à un utilisateur indiquant son adresse email, de savoir s’il a été victime d’un vol d’identité numérique, et si des données personnelles telles que des mots de passe ou numéros de carte de crédit sont accessibles en ligne.
Ralf Holzschuher, Ministre de l’Intérieur du Land de Brandebourg, a insisté sur le danger des révélations d’E. Snowden : une perte de confiance généralisée envers les services de sécurité de l’Etat. Il faudrait veiller selon lui à ce que la conséquence ne soit pas un rejet des nouvelles technologies, pouvant lui-même entraîner un ralentissement de l’innovation en Allemagne. D’après lui, les deux points d’importance sont la protection des infrastructures critiques et la coopération pour la sécurité des réseaux, notamment au niveau européen.
La cybersécurité, dimension à intégrer en amont des développements et un meilleur cadre législatif
Cornelia Rogall-Grothe, Secrétaire d’Etat au Ministère fédéral de l’Intérieur, a insisté sur la volonté du gouvernement fédéral d’agir dans le sens de la sécurité des réseaux. Des dispositions se trouvent, à ce titre, dans l’Agenda Numérique en cours de développement. Dans le cadre de l’industrie 4.0, les logiciels devraient systématiquement intégrer dès leurs premiers stades de développement les contraintes de sécurité (approche « Secure by design »). De plus, des études menées jusqu’en 2012 ont conclu à un manque législatif à combler, en matière de cybersécurité, par :
– la mise en place d’un standard minimum de sécurité pour les entreprises du secteur ;
– le souhait d’obliger les entreprises à déclarer les attaques dont elles sont victimes. En collaboration avec le monde industriel, les gestionnaires d’infrastructures critiques (concernant principalement les secteurs de l’énergie, des transports et les établissements de santé) devraient être dans l’obligation de déclarer à l’Office fédéral pour la sécurité des techniques de l’information (BSI) les cyber-attaques graves dont ils seraient victimes. Actuellement, les déclarations se font sur une base volontaire. Il est à noter que cette mesure avait déjà été débattue l’année passée [3].
Quels dangers pour le réseau électrique et l’industrie 4.0 ?
L’intervention du co-président de l’Académie allemande des technologies (acatech), Henning Kagermann, s’est focalisée sur l’industrie 4.0. Les raisons pour de nouvelles exigences en matière de cybersécurité sont les suivantes :
– Avec l’internet des objets, les données et services font désormais partie intégrante de l’infrastructure critique ;
– Un haut degré de connexion entre matériels et logiciels qui auparavant agissaient de manière isolée et fermée ;
– La virtualisation, permettant la coopération de systèmes hétérogènes.
Le co-président d’acatech a présenté un modèle d’infrastructure décentralisée. Afin d’assurer une continuité des services même en cas d’urgence, il a plaidé pour une subdivision des grandes infrastructures en sous-systèmes. Ces systèmes devraient être construits de manière à ce qu’une attaque n’ait qu’une portée limitée. L’exemple des réseaux électriques allemands a été cité : la décentralisation du réseau d’approvisionnement avec une montée en puissance des énergies renouvelables réduirait la dépendance vis-à-vis du fonctionnement de quelques centrales, comme cela peut être le cas aujourd’hui avec les réseaux centralisés.
Les risques de cyberattaques sur le réseau électrique allemand n’auraient cependant pas d’effet majeur, selon un représentant du producteur d’énergie RWE, pour qui une attaque menant à un « blackout » d’envergure ne risque pas de se produire.
Les systèmes nécessitent donc une nouvelle culture de la sécurité (incluant des aspects sociaux, culturels, technologiques, économiques et écologiques). En ce sens, les recommandations faites par acatech portent sur une règlementation européenne relative à la protection des données, et le développement des compétences internet dès l’école. Il est principalement question de l’équilibre entre société et sécurité.
Une souveraineté européenne sur internet, à quel prix ?
Selon l’Office fédéral de sécurité intérieure (BfV), les entreprises allemandes ne sont pas suffisamment protégées contre les attaques extérieures, qui viseraient principalement les réseaux à faible niveau de sécurité. Les relations avec les services de renseignements américains resteraient bonnes, malgré la déception de voir les Etats-Unis « utiliser leur position dominante sur le cyberespace contre leurs propres amis ». Selon lui, les possibilités de dissimulation des intrusions, la forte probabilité de réussite de ces attaques, ainsi que la rapidité de leur mise en oeuvre constituent un avantage considérable, comparé aux méthodes d’espionnage traditionnel.
Les derniers cas de vols massifs de données d’identité ont constitué un signal d’alarme selon la BSI. Au cours du premier trimestre 2014, environ 34 millions de mots de passe et de données d’accès auraient été volés en Allemagne. Durant la même période, les services du BfV auraient activement repoussé une trentaine d’attaques d’importance.
Le représentant de la BSI souhaite voir se développer l’utilisation des techniques de cryptage dans les infrastructures IT sensibles. Le représentant du BfV a par ailleurs montré son inquiétude face au manque de souveraineté technologique du pays, impactant la sécurité des réseaux (notamment par la production de terminaux mobiles hors d’Europe). Le fait que l’ensemble des technologies de l’information et de la communication soit dominé par des sociétés américaines et asiatiques pose un problème dans la prévention des risques. Le représentant du BfV préconise de ce fait d’identifier des secteurs prioritaires où l’Allemagne, et plus généralement l’Europe se devrait de mettre en place des capacités de production. L’objectif est une baisse en matière de dépendance technologique, pour le moins au niveau des anti-virus, du chiffrement des données ou des technologies de routage.
Selon l’américain Ben Scott, expert en sécurité des réseaux et ancien conseiller d’Hillary Clinton, ce dernier ne croit au contraire pas que les pays puissent être indépendants technologiquement. Il conseille davantage au gouvernement fédéral de développer des logiciels et matériels en interne pour le secteur militaire, mais l’indépendance technologique dans les autres cas serait, selon lui, un processus long (au moins 25 ans) et représenterait un gouffre financier (plusieurs dizaines de milliards d’euros).
Pour en savoir plus, contacts :
– [1] Plateforme « Database for Vulnerability Analysis » : https://www.hpi-vdb.de/vulndb/
– [2] Site du portail « HPI Identity Leak Check » : https://sec.hpi.uni-potsdam.de/leak-checker/search
– [3] Voir l’article « Conférence nationale sur la cybersécurité » 2013 – BE Allemagne 617 – http://www.bulletins-electroniques.com/actualites/73266.htm
Sources :
Participation du rédacteur à la conférence, le 19/05/2014
Rédacteurs :
Aurélien Filiali, aurelien.filiali@diplomatie.gouv.fr – https://www.science-allemagne.fr/