Vous êtes sur la page 1sur 167

Revue stratégique de cyberdéfense

12 février 2018
Page 2 sur 167
SOMMAIRE

Page 3 sur 167


Page 4 sur 167
Page 5 sur 167
Page 6 sur 167
Page 7 sur 167
Page 8 sur 167

Page 9 sur 167


5

Page 10 sur 167


Page 11 sur 167
Page 12 sur 167
Page 13 sur 167
Page 14 sur 167
6

Page 15 sur 167


Action de sabotage informatique

ÉTAPE 1 ÉTAPE 2

Les attaquants envoient des Les attaquants compromettent un


courriels avec des pièces ou plusieurs éléments du réseau
jointes piégées ou informatique afin d’accéder aux
compromettent des serveurs ressources critiques (ex : systèmes
Exemple de zone couverte exposés à Internet pour industriels, serveurs centraux).
par la centrale électrique installer une porte dérobée.
ÉTAPE 3
Les attaquants utilisent un module
de sabotage rendant inopérants les
ordinateurs de contrôle des
centrales électriques.

Page 16 sur 167


Page 17 sur 167
Page 18 sur 167
Exfiltration de données par envoi d’un courriel piégé

Page 19 sur 167


Page 20 sur 167


12

Page 21 sur 167


Page 22 sur 167
Page 23 sur 167
Page 24 sur 167
Page 25 sur 167
Page 26 sur 167
Page 27 sur 167

14

15

Page 28 sur 167


17

18

Page 29 sur 167


Page 30 sur 167


Page 31 sur 167
Page 32 sur 167
Connaissance Connaissance
des de la
technologies menace

Page 33 sur 167


Page 34 sur 167
Page 35 sur 167
Page 36 sur 167
Page 37 sur 167

Page 38 sur 167


Page 39 sur 167
Page 40 sur 167
Page 41 sur 167
Page 42 sur 167
Page 43 sur 167
Page 44 sur 167
Page 45 sur 167
Page 46 sur 167
Page 47 sur 167
Page 48 sur 167

Page 49 sur 167


Page 50 sur 167


Page 51 sur 167
Page 52 sur 167
Page 53 sur 167
Page 54 sur 167

Page 55 sur 167


Page 56 sur 167
Page 57 sur 167
Page 58 sur 167
Page 59 sur 167
Page 60 sur 167
Page 61 sur 167
27

Page 62 sur 167


Page 63 sur 167
Page 64 sur 167
Page 65 sur 167
Page 66 sur 167
Page 67 sur 167
Page 68 sur 167
32

Page 69 sur 167


34

Page 70 sur 167


Page 71 sur 167
37

36

Page 72 sur 167


Page 73 sur 167
Page 74 sur 167
Page 75 sur 167
Page 76 sur 167
Page 77 sur 167
Page 78 sur 167
Page 79 sur 167
Page 80 sur 167
Page 81 sur 167

Page 82 sur 167


Page 83 sur 167


Page 84 sur 167


Page 85 sur 167


Page 86 sur 167


Page 87 sur 167

Page 88 sur 167


Page 89 sur 167


Page 90 sur 167
Page 91 sur 167
Page 92 sur 167
Page 93 sur 167
Page 94 sur 167
Page 95 sur 167
Page 96 sur 167
Page 97 sur 167
-

Page 98 sur 167


Page 99 sur 167
Page 100 sur 167
Page 101 sur 167
est
susceptible d’offrir

Page 102 sur 167


Page 103 sur 167
Page 104 sur 167
Page 105 sur 167
54

Page 106 sur 167


-

Page 107 sur 167


-

Page 108 sur 167


-

Page 109 sur 167


-

Page 110 sur 167


55

Page 111 sur 167


Page 112 sur 167
Page 113 sur 167
Page 114 sur 167
Page 115 sur 167
Page 116 sur 167
Page 117 sur 167
Page 118 sur 167
Page 119 sur 167
-

Page 120 sur 167


Page 121 sur 167
Page 122 sur 167
Page 123 sur 167
Page 124 sur 167
Page 125 sur 167
Page 126 sur 167
̀

Page 127 sur 167


̀

Page 128 sur 167


Page 129 sur 167
Page 130 sur 167
́
́

Page 131 sur 167


Page 132 sur 167
Page 133 sur 167
Page 134 sur 167
Page 135 sur 167
Page 136 sur 167
Calendrier de Développement
Recommandations
mise en œuvre dans la revue

Consolidation de  Mettre en place 4 chaînes opérationnelles : chaîne Immédiat et 2.2. Consolider


l’organisation de « protection », chaîne « action militaire », chaîne court terme l’organisation de la
cyberdéfense française « renseignement », chaîne « investigation judiciaire ». cyberdéfense
 Mettre en place un comité directeur cyber chargé de suivre
la mise en œuvre des décisions prises en matière de
développement et d’organisation générale du domaine par le
Conseil de Défense et de Sécurité Nationale (CDSN).
 Mettre en place un comité de pilotage de la cyberdéfense qui
s’attache à améliorer la connaissance de la menace d’origine
cyber, à élaborer une politique industrielle, réglementaire et
normative de souveraineté numérique et à mettre en place
une doctrine officielle de réponse globale à une crise cyber.
 Mettre en place un centre de coordination des crises cyber
(C4) chargé de la gestion des crises non majeures.

Renforcement de la  Soumission pour avis à l’ANSSI des projets informatiques les Immédiat et 2.3.1. La protection
sécurisation des systèmes plus importants et les plus sensibles de l’Etat dès leur phase court terme, des systèmes
d’information de l’Etat de lancement. étude d’impact d’information de
juridique l’Etat
 Raccordement progressif de tous les ministères à la
transmise,
plateforme d’accès à Internet du réseau interministériel de
économique en
l’Etat (RIE) et pleine utilisation des services qu’elle offre.
cours de
finalisation

Page 137 sur 167


Calendrier de Développement
Recommandations
mise en œuvre dans la revue

 Imposer la couverture complète par un dispositif de


supervision de la sécurité des services informatiques utilisés
par l’Etat, y compris dans les cas où ces services sont
externalisés, et permettre à l’ANSSI d’imposer à cette fin la
mise en place de ses systèmes de détection ou de systèmes
de détection équivalents.

Renforcement de la  Renforcement du niveau d’exigence des règles de sécurité Court terme 2.3.2. La protection
protection des opérateurs qui s’appliquent aux OIV des secteurs des communications avec étude des OIV
d’importance vitale (OIV) électroniques et de l’approvisionnement en énergie d’impact
électrique. financière et
juridique

Renforcement de la  Un socle commun de règles élémentaires de sécurité Court et moyen 2.3.3. La protection
protection des activités proportionnée permettant de protéger les acteurs terme des activités
essentielles fournissant des services essentiels. essentielles
 Recherche d’une harmonisation au sein de l’Union
européenne des règles de cybersécurité s’appliquant aux
opérateurs de services essentiels.

Implication accrue des  Permettre à l’ANSSI de s’appuyer sur des systèmes de Court terme 2.3. Améliorer la
opérateurs de détection mis en œuvre par les opérateurs de avec étude protection des
communications communications électroniques pour détecter les attaques d’impact activités sensibles
électroniques et des informatiques Permettre à l’ANSSI, lorsqu’elle a connaissance financière et
hébergeurs d’une menace particulièrement sérieuse, de mettre en place juridique
sur le réseau d’un opérateur de communications
électroniques ou le système d’information d’un hébergeur,
un dispositif de détection local et temporaire

Page 138 sur 167


Calendrier de Développement
Recommandations
mise en œuvre dans la revue

Amélioration de la  Soutien à la création, par les collectivités territoriales elles- Moyen terme 2.3.4. La protection
cyberprotection des mêmes, d’un réseau de correspondants en cybersécurité. des collectivités
collectivités territoriales territoriales
 Amélioration de l’intégration des besoins et des contraintes
spécifiques aux collectivités territoriales dans les référentiels
de l’ANSSI et dans ses catalogues de produits et services
qualifiés.

Renforcement de la lutte  Conduite d’une réflexion sur la pertinence d’enquêter de Moyen terme 2.4. Renforcer la
contre la cybercriminalité manière plus systématique sur les actes de cybercriminalité, lutte contre la
y compris en l’absence de plainte, lorsque les informations cybercriminalité
recueillies laissent entrevoir l’existence probable
d’infractions pénales.
 Action d’entrave contre les plateformes criminelles les plus
populaires afin de diminuer le sentiment d’impunité qui
anime un certain nombre de cybercriminels.
 Développement d’un réseau de collaboration actif entre
magistrats et enquêteurs en Europe et à l’international.

Promotion de normes de  Renforcement des mécanismes de contrôle des exportations Moyen terme 2.5. L’action
comportement responsables dans le domaine cyber pour les éléments les plus dangereux internationale de la
dans le cyberespace France dans le
 Création, au niveau français ou européen, d’un think tank de
domaine cyber
portée international dédié aux questions géostratégiques et
juridiques de cyberdéfense au sein duquel les idées de la 3.1.5. Réguler la
France pourraient trouver un relais. production et
l’exportation des
armements et des
activités offensives
cyber

Page 139 sur 167


Calendrier de Développement
Recommandations
mise en œuvre dans la revue

Encadrement de l’activité  Lancement d’une initiative française dans le cadre du G20 en Court terme 2.5. L’action
des acteurs privés dans le vue de réguler les activités du secteur privé ayant un impact internationale de la
cyberespace sur la sécurité internationale du cyberespace. France dans le
domaine cyber
 Promouvoir l’interdiction du Hackback par des acteurs du
secteur privé dans le cyberespace.
 Poser au niveau international un principe de responsabilité
de sécurité des acteurs privés systémiques dans la
conception et la maintenance de leurs produits et services
numériques.

Définition d’une doctrine  Adoption d’un schéma de classement des attaques Immédiat 2.5.3. Définir une
d’action face à une attaque informatiques. doctrine d’action
cyber
 Définition des options de réponse aux incidents cyber.

Structuration d’une politique  Mise en place d’une équipe interministérielle chargée Court terme 3.1. La
industrielle en matière d’analyser les technologies clés et de faire émerger des souveraineté
numérique reposant sur la solutions de confiance en lien avec les industriels (veille numérique,
maîtrise de technologies clés technologique et proposition de choix dédiés à l’émergence composante
des technologies clés essentielle de la
souveraineté
 Maintien d’une industrie nationale à la pointe dans le
nationale
domaine du chiffrement des communications.
 Développement d’une nouvelle génération de radios
professionnelles mobiles au profit des forces de sécurité et
des unités de secours.
 Soutien à la recherche et développement dans le domaine de
l’intelligence artificielle appliquée à la cyberdéfense.

Page 140 sur 167


Calendrier de Développement
Recommandations
mise en œuvre dans la revue

Communications sécurisées  Identifier un compostant critique maitrisé par la France et Court et moyen 3.1.2 trois
intégré dans des équipements terminaux pour pouvoir faire terme technologies
de la téléphonie mobile sécurisée. essentielles à notre
souveraineté
 Développer des techniques de chiffrement et de
numérique
cloisonnement logiciels.
 Etudier de nouveaux services, apparentés à la radio
professionnelle, basés sur les technologies civiles (5G) pour
apporter de la résilience.

Cloud  Court et moyen 3.1.4


Etablir une politique globale de l’Etat de recours au cloud.
terme Pour l’informatique
 Encourager le développement de solutions de chiffrement
en nuage, inventer
pour le cloud.
une stratégie de
 Soutenir une autonomie stratégique dans ce domaine. valorisation
 Etablir un cadre de confiance global afin d’orienter le marché
vers des produits qualifiés SecNimCloud.

Amélioration du cadre actuel  Mise en place d’une certification élémentaire de Moyen terme 3.2.2. Améliorer le
de certification afin de cybersécurité, sur le modèle du marquage « CE » requis pour cadre de
contribuer à l’amélioration la commercialisation de certains biens ou services au sein de certification pour
de la sécurité des produits l’espace européen. améliorer la
sécurité des
produits

Page 141 sur 167


Calendrier de Développement
Recommandations
mise en œuvre dans la revue

Consolidation de notre base  Réaliser et entretenir une cartographie industrielle Court et moyen 3.3. L’économie de
industrielle nationale de terme la cybersécurité
 Soutien à l’émergence d’au moins un acteur industriel
confiance dans le domaine
national de référence dans le domaine de la Threat
de la cyberdéfense
intelligence (analyse de la menace) et de l’élaboration de
marqueurs apte à concurrencer les grandes entreprises
américaines, russes et israéliennes du domaine.

 Inciter les grands industriels français à compléter leur offre


de produits et de service à destination du domaine civil, afin
qu’ils y deviennent des champions internationaux de la
cybersécurité capables de concurrencer les géants de la
cybersécurité américains, russes, chinois ou israéliens.
 Soutien aux stratégies de croissance externe des PME
dédiées à la cyberdéfense les plus performantes par la
mobilisation des fonds d’investissement intéressés par le
domaine de la cyberdéfense pour favoriser la création
d’entreprises de taille intermédiaire (ETI) françaises dans ce
secteur.
 Soutien à la mise en place d’accélérateurs, de start-ups
studios et plus généralement de structures
d’accompagnement des start-ups dédiés à la cyberdéfense,
en concentrant les efforts sur les entreprises innovantes dont
la stratégie peut leur permettre d’atteindre une empreinte
mondiale.

Page 142 sur 167


Calendrier de Développement
Recommandations
mise en œuvre dans la revue

Appui à la prise en compte  Soutien à l’apparition d’acteurs nationaux ou européens de Moyen terme 3.3. L’économie de
par le secteur privé des notation cyber. la cybersécurité
enjeux cyber
 Etudier le soutien au développement d’un mécanisme
d’assurance cyber pertinent en aidant à mieux estimer les
risques.
 Soutien à la mise en place d’une valorisation du risque CYBER
au sein des normes comptables et à la prise en compte dans
les documents comptables et financiers.

Intégration des règles de la  Une éducation au numérique incluant la maîtrise des Moyen terme 3.4. Les enjeux
cybersécurité dans les exigences en matière de cybersécurité à l’école élémentaire, humains
apprentissages transmis par au collège et dans tous les cursus du lycée.
l’Ecole de l’école
 Des MOOCS sur la transmission des règles de cybersécurité
élémentaire à la classe de
dédiés aux enseignants en formation initiale et en formation
terminale
continue conçus par le ministère de l’Education nationale
avec le fort soutien de l’ANSSI.

Page 143 sur 167


Calendrier de Développement
Recommandations
mise en œuvre dans la revue

Diffusion de la culture de la  Création par l’ANSSI d’une application ludique, disponible sur Moyen terme 3.4. Les enjeux
sécurité numérique dans smartphone, permettant aux Français de tester leur niveau humains
toute la société de connaissances dans le domaine de la culture de la sécurité
numérique et leur proposant de nombreux défis.
 Etude de l’apport des nudges pour le développement de
l’autonomie des citoyens en matière de cybersécurité.
 Intégration d’une dimension cybersécurité au programme de
soutien à la transformation numérique des entreprises du
ministère de l’économie et des finances et du secrétariat
d’état au numérique.
 Perfectionnement de la gestion des compétences dans les
services chargés de la cyberdéfense de l’Etat.

Page 144 sur 167


Page 145 sur 167
Page 146 sur 167
Page 147 sur 167
Page 148 sur 167
Page 149 sur 167
Page 150 sur 167

Page 151 sur 167


Page 152 sur 167
Page 153 sur 167
Page 154 sur 167

Page 155 sur 167


Page 156 sur 167


Page 157 sur 167


Page 158 sur 167

Page 159 sur 167


-

Page 160 sur 167


-

Page 161 sur 167


Page 162 sur 167


-

Page 163 sur 167


Page 164 sur 167
Page 165 sur 167
Attaquant
Etape 1 : L’ANSSI transmet à l’opérateur un
3. Tentative d’attaque marqueur technique relatif à un attaquant donné
correspondant au marqueur (ex : adresse IP d’un serveur appartenant à
l’attaquant, site Internet piégé)

Etape 2 : L’opérateur inclut le marqueur transmis


par l’ANSSI dans son système de détection
Opérateur
2. Intégration du marqueur par l’opérateur Etape 3 : L’attaquant cherche à compromettre une
4. Alerte
dans son système de détection victime via une communication malveillante
(communication depuis l’adresse IP malveillante,
courriel contenant un lien vers le site piégé)

Etape 4 : Une alerte de sécurité est générée par le


système de détection
1. Envoi d’un marqueur Etape 5 : L’opérateur transmet l’alerte à l’ANSSI,
5. Transmission à l’ANSSI ainsi que les éléments techniques nécessaires à la
caractérisation de l’attaque si la victime est un OIV
Client
ANSSI ou une autorité publique
Victime potentielle

Page 166 sur 167


Attaquant

1. Un attaquant utilise un serveur d’un hébergeur français


pour conduire des attaques

Etape 1 : Un attaquant utilise un serveur d’un


hébergeur français pour mener une attaque

Etape 2 : L’ANSSI détecte ou est informée de


Hébergeur l’utilisation par un attaquant de ce serveur
2. Serveur utilisé par l’attaquant
Etape 3 : L’ANSSI déploie un dispositif de détection
temporaire au plus près du serveur
3. Système de détection temporaire
de l’ANSSI Etape 4 : L’ANSSI exploite le dispositif et recueille
les informations strictement nécessaires à la
caractérisation de la menace et à l’identification
des victimes
4. Exploitation et caractérisation

Victime ANSSI

Page 167 sur 167