Défense

Interview

Jean-Michel Orozco : « La cyber-sécurité résulte d’une approche globale »

La défense contre les cyberattaques est devenue un enjeu crucial. Car, dans un monde de plus en plus connecté et virtualisé, elles peuvent gravement toucher des réseaux économiques et financiers, ainsi que des industries et systèmes étatiques d’importance vitale.

Cet enjeu global est également valable dans le domaine maritime et naval, qui a déjà eu à souffrir de cyberattaques. Les navires civils, comme les bâtiments militaires, doivent donc se prémunir.

Avec Jean-Michel Orozco, directeur de la cyber-sécurité chez DCNS, nous faisons aujourd’hui le point sur cette menace et les mesures prises par l’industrie navale.

 

MER ET MARINE : Quelles formes prennent aujourd’hui les cyberattaques ?

JEAN-MICHEL OROZCO : Elles se répartissent en trois grandes catégories. D’abord, l’espionnage économique, avec des gens malveillants, généralement des services étatiques ou paraétatiques travaillant au profit d’industriels. Ils pénètrent les systèmes d’information des entreprises visées pour saisir des données confidentielles. Il peut s’agir de programmes de R&D, de projets commerciaux ou encore l’espionnage des messageries électroniques des dirigeants. En général, ces actions sont très discrètes et beaucoup d’entreprises se font espionner sans s’en rendre compte, avec un effet dévastateur sur leur niveau de compétitivité.

La deuxième grande catégorie réside dans les attaques en sabotage, qui peuvent être menées par des services secrets, des forces armées voire des organisations terroristes. Ces actes de guerre ou de terrorisme consistent à pénétrer des systèmes d’information ou d’informatique opérationnelle avec comme objectif de désorganiser une industrie, un pays ou une force armée. Tous les objets, services ou produits vitaux d’une nation reposant sur des systèmes d’information avancés sont potentiellement exposés aux attaques en sabotage. Et plus les réseaux sont connectés, ce qui est le cas de nos sociétés modernes, plus ils sont exposés à des « missiles cyber », avec une vulnérabilité plus ou moins forte selon les précautions et mesures que l’on prend. Dans ce contexte, on voit naître des associations entre des groupes terroristes et des mafias, qui ont une vraie compétence dans ce domaine, ce qui représente une réelle menace pour l’avenir. 

Enfin, le troisième grand champ d’action est la cybercriminalité, avec en premier lieu les fraudes bancaires, surtout opérées par des réseaux mafieux. D’autres pratiques sont en plein essor comme le rançonnage. Ce phénomène vise, par exemple, à encrypter les données d’un particulier, d’une PME ou d’une grande entreprise, pour lui demander ensuite de l’argent afin de débloquer les services. C’est extrêmement problématique car si le système informatique d’une entreprise est bloqué, plus personne ne peut travailler. Ce phénomène, qui prend de l’ampleur, devient un très gros business, avec des barèmes de tarifs adaptés aux volumes d’affaires des cibles.

Les attaques sont-elles de nature à bouleverser les rapports de force militaires traditionnels ?

L’une des caractéristiques de la Cybermenace est qu’elle est très asymétrique, discrète et possible avec un investissement limité. Avec quelques dizaines de spécialistes et quelques millions d’euros, on peut déjà mettre au point et porter des attaques sophistiquées. Le coût est donc modeste, et il est difficile de connaître la provenance exacte de ces attaques, qui passent la plupart du temps par des rebonds successifs sur les réseaux de différents pays. C’est donc une arme de nouvelle génération et il faut prendre conscience qu’elle est très adaptée pour ceux qui souhaitent combattre des pays développés, très interconnectés et très digitalisés, donc très exposés. La Cybermenace modifie donc considérablement le rapport de force traditionnel du faible au fort.

Comment les hackers s’y prennent-ils pour pénétrer les systèmes ?

Il y a différentes façons de porter une attaque. Dès que l’on se connecte à un réseau, on devient potentiellement à risque. Il faut donc être vigilant sur ses propres systèmes d’information qu’ils soient en entreprise ou embarqués dans des produits ou services. Il faut l’être également sur les opérations de maintenance et de production sans oublier la supply chain et les fournisseurs qui sont également des vecteurs d’attaques. Quant aux processus d’infiltrations ils vont de la simple clé USB, du mail infecté, jusqu’à « l’insider », en passant par l’installation de produits déjà infectés.

Et les risques vont croissant avec les navires modernes…

Un navire est un objet de plus en plus numérisé. Les systèmes de plateformes (gestion de la conduite de l’énergie, de la propulsion,…) intègrent un grand nombre d’automates et d’outils informatiques de gestion des processus qui sont très sensibles à de potentielles attaques Cyber. De même les systèmes de combat pour ce qui concerne les navires militaires. C’est pour cela qu’il faut avoir une approche exhaustive de la sécurité des navires militaires, de la plateforme au système de combat

Comment se protéger ?

La cyber-sécurité résulte d’une approche globale. Dès la phase de design d’un nouveau navire, il faut mettre en place des architectures cyber-résilientes. De là, on met en place plusieurs niveaux de protection selon un concept de défense en profondeur. D’abord la protection périmétrique et la segmentation des réseaux, qui consiste à « bastionner » les systèmes afin d’arrêter l’essentiel des attaques. Ensuite, pour traiter celles qui pourraient réussir à passer, il faut mettre en place des systèmes de surveillance et de détection d’attaques perfectionnés, présents dans les réseaux, les stations et les logiciels. Leur mission est de détecter tout élément anormal et permettre de neutraliser la menace. Il est par ailleurs nécessaire de prévoir des mécanismes de continuité d’activité (cyber résilience) notamment à l’aide de la mise en place de systèmes redondants.

Au-delà de la maîtrise de la conception du bâtiment, Il faut aussi maîtriser ses configurations et évolutions au fil du temps. Dans ce contexte la veille menace est cruciale dans cette lutte car il faut se tenir au courant en permanence afin de s’adapter à l’évolution constante des protocoles d’attaque et à l’émergence de nouvelles vulnérabilités. En fait, c’est une guerre de mouvement et  sans fin, il faut évoluer et s’adapter rapidement, avec des cyber-processus évolutifs et des techniques de mise à jour des défenses très rapide. Le tout, en tenant compte du fait que nous travaillons sur des navires qui vont opérer pendant 30 ou 40 ans.

Enfin, il est bien évident qu’on doit s’assurer que les développements sont effectués dans un environnement Cybersafe.

J’insiste donc sur le caractère global et de bout en bout d’une bonne approche de la Cybersécurité.

On imagine que DCNS est particulièrement attentif aux phases de MCO et à la supply chain ?

Oui, il faut veiller à ce que les opérations de MCO soient réalisées dans un environnement sûr, avec une maîtrise parfaite des gestions de configurations. Pour la supply-chain il faut être en mesure de qualifier le niveau de maturité des sous-traitants critiques. De même les produits intégrés doivent être qualifiés non plus seulement au plan fonctionnel mais aussi au plan Cyber. Dans cette optique, tous les équipements susceptibles de présenter une faille de sécurité sont vérifiés par des tests d’intrusion. Je pense néanmoins qu’il faut aller au-delà et créer une chaine de fournisseurs de confiance au travers de laquelle nous nous assurons que les méthodes de production sont « cybersafe ». L’idée est de travailler le plus en amont possible et nous sommes en train de mettre en place un processus de qualification avec des partenaires extérieurs.

Le moindre sous-traitant doit-il fournir les garanties de protection les plus élevées ?

Le problème de la cybersécurité est qu’elle doit s’opérer de bout en bout. Ce qui est important, c’est de maintenir l’ensemble de la chaîne de production à un niveau cohérent. Il ne faut pas avoir certains points forts et d’autres faibles, susceptibles d’offrir des opportunités aux attaquants. C’est pourquoi nous avons élaboré un référentiel de cyber-sécurité navale, avec des modèles d’architecture, des méthodes et des outils, que nous nous appliquons chez DCNS et à l’ensemble de notre écosystème, notamment nos fournisseurs et sous-traitants.

DCNS souhaite réunir d’autres grands groupes français pour accentuer le soutien aux sociétés spécialisées dans la cyber-sécurité. Où en êtes-vous ?

Il faut un écosystème de sociétés capable de développer ces technologies de Cyberdéfense et susciter l’essor de ces entreprises. C’est pourquoi nous souhaitons réunir des opérateurs d’importance vitale qui souhaitent disposer de technologies de confiance et qui sont capables de les spécifier et peuvent s’engager dans un fonds d’investissement chargé de soutenir le développement d’entreprise innovantes de type start-ups et PME.  Entreprises qui seront alors à même de développer des produits adaptés à la demande en bénéficiant des apports nécessaires en capital. La création de cet écosystème nous permettra à tous de bénéficier de solutions sûres de nouvelle génération, avec un afflux de technologies suffisant pour pouvoir faire face au fil du temps à l’évolution des menaces.

Quand prévoyez-vous de créer ce fonds d’investissement Cyber. Pourquoi DCNS est chef de file sur ce projet ?

DCNS est probablement l’une des entreprises les plus avancées sur le sujet. Le groupe a très tôt pris en compte la problématique de la sécurité des systèmes d’information. Il disposait par exemple de moyens de surveillance dès 2005 et était alors, probablement, le seul en France.

Nous souhaitons créer ce fonds d’investissement Cyber d’ici la fin de l’année autour d’acteurs majeurs de la défense, de l’industrie et des services, ainsi que des entreprises ayant une bonne connaissance du marché. La cyber-sécurité est un enjeu national car nos sociétés sont très connectées et dépendantes des réseaux électroniques.

On parle de plus en plus de Cyberdéfense, les attaques se multiplient et, pourtant, on sait que de nombreuses entreprises, et pas uniquement de petites sociétés, ont des systèmes encore très vulnérables. Comment expliquez-vous ce phénomène ?

On investit dans quelque chose que l’on comprend. Or, dans les entreprises, la cyberdéfense est souvent l’affaire des Directions des services informatiques, qui ont des discours très techniques et pas assez stratégiques. Il est alors plus complexe de faire comprendre aux dirigeants l’étendue de la menace cyber sur les entreprises. Une plus ample prise de conscience est nécessaire, notamment sur le fait qu’on ne peut pas investir dans l’IT (technologies de l’information et de la communication (ndlr) sans moyens de défense associés, c’est un tout indivisible.

Comment DCNS vend son savoir-faire dans ce domaine à ces clients ?

Nous proposons une cyber-sécurité by design, nos produits sont conçus, réalisés et livrés dans un environnement sûr et avec des principes de conception adaptés, sachant que nous nous adaptons aux technologies souhaitées par nos clients. Et pour les programmes en transfert de technologie, nous nouons des partenariats avec les autorités et industriels locaux. Dès lors que les bâtiments sont entre les mains des clients nous apportons alors une offre complète en matière de services de surveillance, de détection et d’analyse (SOC, CERT). De même nous offrons une large gamme de formations des opérationnels. Enfin nous sommes à même de faire évoluer régulièrement les systèmes de défense Cyber de façon à garantir un niveau constant de défense au cours du temps face à une menace fortement et rapidement évolutive.

______________________________________________________________

Interview réalisée par Vincent Groizeleau © Mer et Marine, octobre 2016

DCNS