Secu
FIC 2019 : Avis de tempête sur la cybersécurité…
Par Laurent Delattre, publié le 01 février 2019
La confiance est au cœur de la sécurité. Mais à qui faire confiance ? Surtout lorsque l’IT subit la dépendance technologique d’un nombre trop restreint d’acteurs et l’interconnexion des systèmes les rend mécaniquement plus vulnérables. L’alerte au cyber-ouragan est lancée…
L’Institut Montaigne, un des principaux think-tanks indépendants européens, a publié sur le FIC un petit fascicule assez pessimiste intitulé « Cybermenace : avis de tempête ».
Selon l’institut, « l’interconnexion des technologies et des entreprises, la numérisation, ou encore le fait que les systèmes d’information dépendent d’un petit nombre d’acteurs laissent planer le risque d’un « cyber-ouragan ».
Plus concrètement, l’Institut Montaigne se montre préoccupé par deux facteurs qui amplifient les risques en matière de cybersécurité.
A/ Une trop forte dépendance
Le premier facteur est la très forte dépendance des industriels et des entreprises sur un nombre très restreint d’acteurs. L’institut Montaigne vise particulièrement les processeurs. Les micro-processeurs « x86 » ont une place prépondérante dans les systèmes d’information. 79% sont produits par Intel. Les autres par AMD. Evidemment, il faut aussi ajouter les PowerPC d’IBM et de l’OPF (OpenPower Foundation).
Parallèlement, la montée en puissance des processeurs ARM dans les datacenters est attendue de longue date mais, dans ce contexte, elle se révèle également souhaitable.
Certes, si les constructeurs de processeurs ARM sont aujourd’hui très diversifiés (Qualcomm, Cavium, APM, Huawei, Samsung, Macom, Amel, Annapurna Labs, Renesas, Teledyne, Marvell, Xilinx, …), ils n’en demeurent pas moins principalement américains, asiatiques et chinois. Et ces CPU restent fabriqués dans les mêmes usines (principalement TSMC et Samsung).
L’Europe a bien un projet pour produire son propre processeur ARM : l’EPI (European Processor Initiative). Mais celui-ci ne devrait pas voir le jour avant 2021 au mieux.
La dépendance ne s’arrête d’ailleurs pas aux processeurs. On la retrouve dans les mémoires, dans les équipements réseaux, dans les systèmes et même dans les grands acteurs Cloud (qui ne sont pas si nombreux).
Le problème n’est pas nouveau. En recevant son Turing Award en 1984, Kevin Thomson, l’un des deux pères d’UNIX, rappelait dans une lecture devenue célèbre « Reflections on Trusting Trust » que la confiance reste une chose très relative. Celui-ci démontrait, exemples à l’appui, qu’accéder au code source n’est pas suffisant pour être réellement confiant car on peut modifier le compilateur pour que, sur la base d’une séquence spécifique, le code exécuté fasse autre chose que ce qui est programmé. Par extrapolation, il alertait également sur le fait que même si on faisait à la fois confiance au code et au compilateur, on pouvait en faire autant au niveau hardware et faire en sorte que, sur une séquence donnée, le processeur réalise autre chose que ce que l’on croit exécuter.
B/ Une interconnexion sauvage
Par ailleurs, l’institut Montaigne considère qu’« à l’échelle de la France, l’interconnexion des systèmes, facilitée par le décloisonnement des services et l’adoption grandissante du cloud, rend les conséquences potentielles d’une attaque dramatiques ».
Une situation qui ne va pas s’améliorer et qui est aujourd’hui au cœur des débats autour de la 5G notamment. Lors du FIC, Guillaume Poupard, le directeur de l’ANSSI (Agence Nationale pour la Sécurité des Sytèmes d’Information), a fourni quelques informations complémentaires sur l’approche française à l’heure où américains et européens se montrent très circonspects face aux fournisseurs chinois comme Huawei. « Il est clair que la 5G, vu les usages que ça va apporter et vu la sensibilité de ces réseaux, finalement aussi sensibles que les réseaux d’énergie, soulèvent de nombreuses interrogations en matière de maîtrise des infrastructures, sur les équipements acceptés au sein de ces réseaux et va demander des efforts importants. Contrairement à certains pays et à ce que l’on peut lire ici et là, l’ANSSI n’a pas d’approche géo-politique ou économique sur ces questions. L’idée est de faire en sorte que la France continue de disposer d’outils règlementaires lui permettant de maîtriser son destin. Les réseaux français sont parmi les plus « cleans » d’Europe. Il faut s’en féliciter… Nous dialoguons avec l’ensemble des équipementiers pour rentrer avec eux dans des processus de collaboration technique afin d’élever le niveau de sécurité lorsque cela nous paraît nécessaire. »
L’Institut Montaigne redoute par ailleurs les attaques à grande échelle visant notamment les TPE, les PME et les ETI dont les conséquences sont aggravées par les interconnexions des systèmes. Non sans raison. « Les attaquants ont tout à fait compris que pour toucher certaines cibles, il est beaucoup plus efficace, plus simple, de s’en prendre à leurs prestataires, à leur supply chain » rappelait Guillaume Poupard sur le FIC 2019. Plus préoccupées par leur quotidien et la pression business, les petites et moyennes entreprises n’ont souvent pas le temps, les compétences, le financement, pour relever tous les défis posés par la cybersécurité. Parmi les recommandations formulées par l’Institut Montaigne, et en partie reprise par la ministre des armées dans son allocation lors du FIC, il faudrait « mobiliser les grands groupes sur leur responsabilité pour augmenter le niveau de cyber sécurité de leur supply chain ». Il faudrait également « inciter à la création et à la souscription d’offres cybersécurité par les TPE/PME/ETI ».
Pour éviter le cyber-ouragan qui se prépare, l’Institut Montaigne estime que l’on a un besoin vital de coopération et de solidarité entre acteurs privés et publics afin d’anticiper les attaques et de limiter leurs effets sur les SI français. D’où, sans doute, la nouvelle doctrine de l’ANSSI : « tous connectés, tous impliqués, tous responsables… »
Source:
Intitut Montaigne : Cybermenace : avis de tempête