TIC & Géopolitique 2016 : la (cyber)défense, c’est désormais l’affaire de tous
Lancées en 2009, les conférences TIC & Géopolitique de l’EPITA abordent tous les ans les grandes thématiques liées à l’actualité des TIC dans le monde. Pour son édition 2016, l’événement a pris une dimension exceptionnelle avec trois tables rondes et une grande annonce : celle du lancement de la Réserve de Cyberdéfense (RCD). Une initiative d’importance dans laquelle l’école s’implique depuis plusieurs années et qui méritait bien d’investir le grand amphithéâtre de l’École Militaire (Paris 7e) le lundi 2 mai 2016.
« Une date historique »
Au départ, cela n’était qu’une idée, une intention, étudiée par le pôle cyber de l’État-Major des Armées et présentée aux étudiants de l’EPITA. Année après année, elle s’est étoffée, a pris forme et maintenant se concrétise. Cette idée, c’est celle de la RCD, qui désormais voit la France commencer des campagnes de recrutements à Rennes et Paris, dans le but d’obtenir 500 jeunes réservistes cyber d’ici la fin de l’année pour 4 300 réservistes d’ici fin 2018. C’est le vice-amiral Arnaud Coustillière, Officier général Cyberdéfense qui, lors de cette conférence TIC & Géopolitique 2016, est venu annoncer cette grande nouvelle à l’auditoire composé d’étudiants et de professionnels de la cybersécurité. « Il s’agit d’une aventure commencée en 2012 avec l’EPITA, qui nous a permis à plusieurs reprises de tester ce dispositif grâce à l’implication des étudiants des différentes promotions, rappelait-il. Ainsi, en septembre, seront inaugurés les premiers bataillons de citoyens de la RCD. Sa vocation sera double : elle fera figure de réserve d’intervention, avec des experts seniors, en relation avec de grandes entreprises de la cybersécurité partenaires et prêtes à mettre ces ingénieurs à disposition en cas de grandes attaques, puis réserve de reconstruction, en partenariat avec des écoles d’ingénieurs, en particulier l’EPITA. Au-delà de l’implication pour l’État, ces étudiants réservistes auront droit à des exercices et formations particuliers ainsi qu’un accès au CyberLab du ministère de la Défense. »
Pour Joël Courtois, directeur général de l’école, cette officialisation fait même de ce 2 mai 2016 une journée à marquer d’une pierre blanche. « C’est une date historique, aussi bien pour l’EPITA que notre pays, car le lancement du recrutement de la RCD défini un moment charnière. Aujourd’hui, la France montre l’exemple en officialisant simultanément l’incontournable numérisation de notre société, la reconnaissance de l’explosion des cybermenaces et la prise de conscience de la nécessité de mettre en place un véritable engagement citoyen. »
Joël Courtois
Le vice-amiral Arnaud Coustillière (à gauche), Nicolas Arpagian (à droite)
Tous les corps de métiers concernés par la lutte contre la cybercriminalité ?
Outre l’annonce de la RCDC, l’événement du jour était également l’occasion pour les participants d’assister à trois tables rondes sur des sujets passionnants pour peu que l’on s’intéresse à la cybersécurité, toutes menées par Nicolas Arpagian, rédacteur en chef du magazine Prospective Stratégique. La première d’entre elles réunissait Eric Caprioli de Caprioli & Associés, avocat à la cour, Alice Cherif, vice-procureure du pôle Cybercriminalité au Parquet du Tribunal de Grande Instance de Paris, le colonel Nicolas Duvinage, chef du Centre de lutte contre les criminalités du numérique (C3N) de la Gendarmerie nationale et François-Xavier Masson, chef de l’Office centrale de lutte contre la criminalité liée aux technologies de l’information (OCLCTIC). Ce panel de spécialistes était ainsi convié à débattre des contours de la menace cybercriminelle actuelle.
Pour mieux contextualiser le débat, François-Xavier Masson tenait à rappeler que, plus encore que la criminalité dite classique, la cybercriminalité était amenée à toucher tout le monde à une époque où chacun mène sa vie en ligne. « La délinquance traditionnelle se transpose sur Internet, à une différence près et c’est l’une des caractéristiques de la cybercriminalité, c’est qu’il n’y a pas forcément de contact entre l’auteur et sa victime. Cette différence a son importance, puis qu’elle signifie plusieurs choses : la difficulté d’identifier l’auteur de l’infraction (ce dernier disposant de moyens d’anonymisation performants et de plus en plus développés) et l’ajout d’une connotation internationale au crime perpétré (l’auteur des actes en France peut vivre dans un autre pays et utiliser un serveur situé sur un autre continent). »
De gauche à droite : Eric Caprioli, Nicolas Arpagian, François-Xavier Masson, Alice Cherif et le colonel Nicolas Duvinage
Un réel besoin de spécialisation, de cohésion et de collaboration
À ses yeux, il est donc capital de penser des outils adaptés ainsi que des spécialités des corps de métiers concernés pour lutter efficacement contre ces malfaiteurs connectés. Un avis partagé par tous les intervenants, et notamment le colonel Nicolas Duvinage. « Au-delà de la partie forensic liée à l’analyse des objets saisis et des chiffrements des flux de communication ou des données stockées, l’investigation judiciaire pure et dure se doit aussi de s’adapter. Lors des perquisitions et des gardes à vue, il convient d’être en mesure de savoir quoi saisir et de poser des bonnes questions, y compris des questions très techniques. Il faut donc avoir le flair de l’enquêteur mais aussi de réelles connaissances dans ces domaines. » Même constat pour Alice Cherif. « Il faut aussi avoir des personnes capables de décoder les faits, de les rendre plus accessibles et de les expliquer devant des magistrats non spécialisés. Parfois, des débats devant les tribunaux durent 8 h en raison de ces besoins d’explication permettant de légitimer le jugement ! »
La vice-procureure est d’ailleurs quotidiennement confrontée aux difficultés générées par ces crimes. « Comme tout dossier pénal, l’essentiel du travail des enquêteurs dans une affaire numérique se résume à trouver une trace de la preuve pour remonter aux mis en causes, aux auteurs des infractions et à leurs complices. Une fois la preuve obtenue, c’est le début des difficultés dans le domaine de la question cyber si le délinquant est en France ou à l’étranger, même si, en général, 25 % seulement de la cyber délinquance se veut franco-française. En fonction de cette question, le traitement pénal va être différent. S’il est en France, dans la mesure où il est possible de retenir nos compétences, la personne sera poursuivie devant le tribunal correctionnel. S’il est étranger, il faut partir à l’international via les outils légaux d’entraide, avec parfois des protocoles d’urgence, pour entre autres, geler les données impliquées dans l’affaire. Actuellement, les procédures en cours pour des contentieux cyber correspondent à beaucoup de « petits dossiers faciles » (usurpations d’identités, piratages de boîte mail ou compte Facebook), mais concernent aussi des dossiers au long cours capables de prendre plusieurs mois de traitement. »
De ce fait, les complications de procédure ne sont pas pour freiner les délinquants. « Du point de vue de l’avocat, on est là pour essayer de réparer un dommage ou des effets pervers liés au délit, explique Eric Caprioli. Deux grandes questions se posent alors :la durée de la procédure et le quantum, c’est-à-dire la réalité de la peine appliquée sans prise en compte d’éventuelles remises de peine. Aujourd’hui, ce quantum fait rêver les délinquants, d’autant que certaines plaintes prennent plusieurs années à être traitées quand d’autres n’aboutissement jamais… Le pire, c’est que la menace n’en est qu’à ses débuts et, qu’avec la numérisation de plus en plus souhaitée de la monnaie et des paiements, va encore augmenter en attirant toujours plus de délinquants, ceux-là même qui, avant, braquaient des banques, des fourgons et des distributeurs. »
Une prise de conscience encore trop légère
Si la justice essaye donc tant bien que mal de s’occuper de ce fléau, un autre problème se pose : la passivité et de la non-réactivité des victimes. « Plus de 80 % des faits concernent des escroqueries visant les particuliers comme les entreprises et, tous les mois, on dénombre 3 000 nouvelles plaintes en gendarmerie pour des cas de cybercriminalité au sens large, représentant un préjudice matériel de 2 à 6 millions d’euros, explique le Colonel Duvinage. Mais une grande partie des faits ne font pas l’objet de dépôt de plainte. Or, on ne peut pas faire sans ! Et ces plaintes non déposées ne rentrent donc pas dans nos statistiques. On estime qu’un à dix pourcents des victimes seulement porte plainte. Tous les mois 3000 nouvelles plaintes déposées en gendarmerie, cybercriminalité au sens le plus large du terme, pour un préjudice matériel de 2 à 6 millions d’euros chaque moi. » Et si, dans le cas des entreprises, le non-dépôt correspondrait surtout à une volonté de sauvegarder l’image de la société, les particuliers ne passeraient pas à l’acte par ignorance et surtout par souci de voir la procédure traîner en longueur pour ne rien donner. « Face à cette vraie massification de ce type de délinquance, le système fait qu’on n’est pas tellement enclin à porter plainte, regrette François-Xavier Masson. En plus de voir cela comme une perte de temps, le particulier se dit qu’il est remboursé par son assurance et que, par conséquent, cela ne vaut pas la peine. » La meilleure solution pour lutter directement contre ces crimes selon l’expert serait donc d’avantage d’éduquer l’ensemble de la population. « Une révolution culturelle est à faire : il ne faut pas attendre que l’infraction soit commise, il faut anticiper, changer nos façons de faire, faire de la prévention, développer des outils proactifs et avoir des remontées d’information pour agir plus rapidement ». Une autre façon de mettre à la sauce numérique la maxime célèbre : la cybersécurité, c’est l’affaire de tous.
Monnaies virtuelles, danger réel ?
La deuxième table ronde portait sur les monnaies virtuelles et réunissait Jean-Charles Brisard, président du Centre d’analyse du terrorisme (CAT), Gonzague Grandval, cofondateur de Paymium, Cathy-Rosalie Joly, avocate à la cour (Cabinet Ulys), le lieutenant-colonel Victor Le Bihan et Luc Strohmann, responsable cyberdouanes à la Direction nationale du renseignement et des enquêtes douanières (DNRED). L’occasion d’apprendre que ces différentes monnaies font l’objet d’une attention toute particulière par l’État français. Ainsi, suivies par Bercy par des services comme Tracfin, elles le sont également par la DNRED. « Chez nous, on est plus à la pointe sur l’utilisation du Bitcoin ou de l’Ether au quotidien par des vendeurs de stupéfiants travaillant sur le darknet et le réseau Tor », souligne Luc Strohmann.
De gauche à droite : Gonzague Grandval, Nicolas Arpagian, Jean-Charles Brisard, Luc Strohmann, Cathy-Rosalie Joly et le lieutenant-colonel Victor Le Bihan
Si les trafiquants de drogue voient dans ces monnaies un bon moyen de trouver des clients en renforçant la discrétion, est-ce que ce système permet aussi d’alimenter des réseaux terroristes comme celui du tristement célèbre Daech ? Pas vraiment à en croire les invités. « Ce qu’on constate, c’est que sur le plan du financement de ces organisations, ces monnaies sont encore très peu utilisées, analyse Jean-Charles Brisard. C’est très marginal, même si quelques plateformes djihadistes permettent le versement de donations. Par contre, sur le plan opérationnel, leur usage est plus répandu, notamment pour l’achat d’armes et de documents administratifs sur le darknet. Cela dit, Daech n’ayant plus accès au secteur bancaire, la compensation de la monnaie virtuelle leur pose problème. » Selon le Lieutenant-Colonel Victor Le Bihan, Daech développerait plutôt un autre raisonnement. « Les groupes djihadistes utilisent le cyberespace, mais ils essaient aussi de mettre en œuvre une monnaie physique pour obtenir une certaine légitimité étatique. Pour cela, ils privilégient non pas les outils modernes mais les outils passés. » Cette tendance rappelle que, bien que l’on parle de monnaie virtuelle et de discrétion, tout cela impacte le monde réel. « On parle de monnaie virtuelle, mais juridiquement ça correspond bien à quelque chose, développe Cathy-Rosalie Joly. Le lien avec le monde physique se fait au moment de la conversion. C’est là où on peut souvent intervenir. Le projet de loi de cybercriminalité actuellement discuté au Sénat permettra de réguler un peu plus ce marché, en intégrant par exemple la notion de faire uniquement appel à des établissements agréés pour échanger ses Bitcoins en euros et ainsi identifier les différents intervenants impliqués. »
D’ailleurs, selon Gonzague Grandval, les monnaies virtuelles n’offrent pas un anonymat totalement garanti contrairement aux idées reçues. « Depuis 2013 et suite à la demande des régulateurs, tous nos vendeurs et acheteurs sont identifiés. L’usage du Bitcoin, on a longtemps dit que c’était un système de paiement anonyme, mais il s’agit plutôt d’un moyen de paiement sous pseudonyme car toutes les transactions sont sauvegardées dans le système blockchain. On peut donc remonter à la source de chaque transaction. Et les utilisateurs ne sont pas tous des criminels. Il y en a, bien sûr, mais on tend à mettre en place des outils pour gêner et empêcher les transactions illicites. On oublie aussi de préciser que ces monnaies ont un avantage non négligeable pour lutter contre la cybercriminalité : elles permettent de ne pas partager ses informations bancaires en ligne et donc de se faire voler ses coordonnées bancaires. »
La parole est à la défense
La troisième et dernière table ronde de ce TIC & Géopolitique 2016 était plus portée sur la préparation de l’État et de ses institutions pour faire face à un conflit numérique. D’où la présence de Sébastien Bombal, responsable de la majeure Systèmes, Réseaux et Sécurité (SRS) de l’EPITA et capitaine dans la Réserve Citoyenne Cyberdéfense (RCC), de Sophie Griffe, ingénieure à la Direction du renseignement militaire (DRM) et du colonel Sébastien Vincon, chef du CALID. Ce dernier n’hésitait pas à définir le cyberespace comme « un véritable espace de confrontations », au même titre que le sont l’air, le terrestre, l’espace et la mer. « La France doit se doter de capacité pour y intervenir afin de préserver ses intérêts et garder intacte une certaine souveraineté. Comme dans les autres espaces de confrontations, il existe quatre types d’opérations dans cet espace numérique – j’agis, je me défends, je me protège et je me renseigne – et le CALID, a justement vocation de défendre les systèmes d’information (SI). Le périmètre de ses missions couvre l’ensemble des 3 000 SI du ministère de la Défense. Un rôle important car il n’y a pas une seule opération militaire qui se fait aujourd’hui sans SI. Le CALID se place donc au cœur du dispositif opérationnel de défense. Il doit faire preuve de réflexion, d’analyse et d’une grande capacité de réaction face à des attaques potentielles suspectes ou réelles. Et pour défendre, il faut connaître son propre environnement, sa propre cartographie de ses SI pour être suffisamment rapide de la compréhension de l’événement quand il arrive, le détecter, comprendre le déplacement et les recherches de l’assaillant afin de reprendre la main. »
De gauche à droite : Nicolas Arpagian, Sophie Griffe, Sébastien Bombal et le colonel Sébastien Vincon
Pour préparer sa défense, l’État doit donc pouvoir compter sur des agents particulièrement compétents. « La question cyber concerne tous les métiers, détaille Sophie Griffe. C’est un secteur riche, qui a aussi bien besoin de profils littéraires pour leur capacité d’analyses que d’ingénieurs et de chercheurs pour créer des outils, des capteurs, etc. Aujourd’hui, l’État cherche des chefs de projets, des développeurs, des spécialistes de l’organisation des opérations, etc. Des gens ayant une mobilité intellectuelle suffisante pour développer des capacités. » Pour Sébastien Bombal, le défi de la cyberdéfense est de taille et les opportunités professionnelles plus que réelles. « Tout le monde veut faire sa montée en capacité d’ici 2020, que ce soit à l’ANSSI, dans les ministères ou sur le marché civil. La demande est forte et seulement 25 % de celle-ci est couverte par les écoles spécialisées ! Des ingénieurs, il en faut toujours plus car le besoin d’expert est fort. Mais il ne faut pas seulement viser la formation initiale pour répondre à ce besoin grandissant car, former un ingénieur performant, cela demande plusieurs années, ce qui peut paraître long par rapport à la demande actuelle. D’où la nécessité de mettre en place la RCD et de voir se développer en parallèle des solutions d’offres de formation continue pour les professionnels intéressés. »