Cybersécurité
Cyberdéfense
Enjeux stratégiques
Yann Salamon
Guillaume Poupard
Ellipses
Préface3
Avant-propos13
Chapitre 1. L'espace numérique19
Introduction : un nouveau domaine d'opportunités... et de menaces19
I. Réseaux informatiques, Internet, cyberespace
20
1. Quelques rappels fondamentaux20
2. Brève histoire d'Internet21
3. Gouvernance technique d'Internet24
4. Le « deep » et le « dark »25
II. Topologie du cyberespace
26
1. Couches, frontières, centres de gravité, pentes26
2. Acteurs en présence28
3. Caractéristiques et propriétés29
III. Les données numériques
33
1. De quoi parle-t-on ?33
2. Quelques représentations en cycles de vie34
3. Enjeux de valeur et de sensibilité35
4. Aparté sur l'intelligence artificielle36
IV. Ce qu'il se passe dans le numérique
38
1. Plusieurs grands aspects d'une transformation globale38
2. Cognition : accès à la connaissance, apprentissage, esprit critique39
3. Relations sociales45
4. Enjeux économiques47
5. Enjeux sociétaux de régulation49
6. Une source croissante de conflictualité stratégique51
V. Enjeux de souveraineté
54
1. De la souveraineté classique à la souveraineté numérique54
2. Acception classique du concept de souveraineté54
3. Souveraineté numérique ?56
Chapitre 2. La menace d'origine cyber61
Introduction : une menace élevée, croissante et protéiforme61
I. Comprendre la menace cyber
62
1. Les sources de menace : les attaquants62
2. Les motivations et finalités des attaquants64
3. Les cibles : des entités, des systèmes, des données68
4. Les vulnérabilités73
a. Des vulnérabilités de différentes natures73
b. Le cycle de vie d'une vulnérabilité technique74
c. Les vulnérabilités « 0-day »76
d. Économie générale de la recherche de vulnérabilités77
e. Responsabilités des éditeurs et des utilisateurs78
f. Enjeux de politique publique80
5. Les modes opératoires, outils et infrastructures82
II. Tendances générales associées à la menace d'origine cyber
89
III. Quelques exemples récents d'attaques informatiques
91
1. Estonie (2007)91
2. Olympic Games et Stuxnet (2010)92
3. Shamoon (2012)92
4. Sony Pictures Entertainment (2014)93
5. Office of Personnel Management (2014-2015)94
6. TV5 Monde (2015)94
7. Ashley Madison (2015)95
8. SWIFT (2015-2016)95
9. The Shadow Brokers (2016-2017)96
10. Mirai (2016)96
11. Vault 7 (2017)97
12. WannaCry (2017)97
Chapitre 3. La cybersécurité99
Introduction : la difficile quête d'un état optimal de cybersécurité99
I. Le risque cyber : un risque stratégique qu'il faut « gouverner »
101
1. Remarques préliminaires101
2. La nécessaire complémentarité entre les approches « par la conformité » et l'analyse des risques102
3. Un risque stratégique et systémique : une préoccupation pour les dirigeants103
4. Le besoin d'une gouvernance holistique105
5. Une attention particulière sur la conformité106
6. Des textes de référence issus de différentes sphères108
II. Un processus itératif pour animer la gouvernance du risque cyber
109
1. Une méthode en fil rouge : EBIOS Risk Manager109
2. Délimiter le périmètre, comprendre le contexte112
3. Identifier et évaluer des risques et des scénarios112
4. Décider, en pleine conscience, d'une façon de traiter les risques113
III. La réduction des risques grâce aux mesures de protection, de défense et de résilience
115
1. Généralités115
a. Types et fonctions115
b. Principes116
2. Décourager les attaquants117
3. Protéger les SI119
4. Détecter les attaques120
a. Au niveau d'une organisation120
b. La détection en France en bref126
c. Les centres de réponse aux incidents informatiques : les CSIRT et les CERT128
5. Réagir à une attaque130
a. Au niveau d'une organisation ou d'un individu130
b. Dispositif étatique de réponse à une attaque cyber138
Chapitre 4. Le modèle français147
Introduction : la sécurité numérique, une politique publique interministérielle147
I. Organisation et gouvernance
150
1. Organisation générale150
2. L'ANSSI152
3. D'autres acteurs incontournables154
4. Quatre chaînes opérationnelles156
5. Quelques enceintes de gouvernance de la cyberdéfense française157
6. Atouts du modèle160
II. Les documents fondateurs
163
1. 2008 : le Livre blanc sur la défense et la sécurité nationale163
2. 2009 : le décret de création de l'ANSSI165
3. 2011 : la première stratégie nationale de défense et de sécurité des systèmes d'information166
4. 2013 : le Livre blanc sur la défense et la sécurité nationale167
5. 2013 : la loi de programmation militaire 2014-2019168
6. 2015 : la Stratégie nationale pour la sécurité du numérique173
7. 2018 : la Revue stratégique de cyberdéfense174
8. 2018 : la loi de programmation militaire 2019-2025178
9. 2019 : éléments de doctrine cyber du ministère des Armées180
III. Réglementation nationale de cybersécurité
182
1. Considérations générales sur le cadre réglementaire français182
2. Protection des systèmes et informations sensibles183
3. Réglementation sur la cryptologie186
4. Administration et commerce électronique189
5. La « loi Godfrain »193
IV. Aspects industriels
195
1. Quels besoins technologiques et industriels ?196
2. Comment faire émerger, structurer et rendre lisible un marché de la cybersécurité ?197
a. La certification de sécurité199
b. La qualification200
c. L'agrément200
d. La labellisation201
e. Les Visas de sécurité ANSSI202
3. Quid de l'échelon européen et de l'international ?202
Chapitre 5. Les enjeux internationaux205
Introduction : pourquoi parler d'enjeux internationaux en matière de sécurité numérique ?205
I. Quelques grands acteurs
207
1. Les États-Unis d'Amérique208
a. Une lente prise en compte des enjeux cyber sur les quatre dernières décennies208
b. L'organisation fédérale actuelle de cybersécurité212
c. Quelques éléments saillants213
2. La Fédération de Russie215
a. Généralités215
b. Organisation et doctrine217
3. La République populaire de Chine219
a. Généralités219
b. Evolutions récentes de la doctrine et de l'organisation chinoise en matière de cybersécurité222
II. La coopération internationale
225
1. Rappels de relations internationales et de droit international225
2. Alliances et coopérations bilatérales226
a. « Alliances traditionnelles » et « alliances cyber »226
b. Établir une coopération bilatérale en matière de cybersécurité228
3. Organisations internationales231
a. L'Organisation des Nations unies (ONU)232
b. L'Union européenne (UE)235
c. L'Organisation du traité de l'Atlantique Nord (OTAN)244
d. L'Organisation de coopération et de développement économiques (OCDE)250
III. Paix, sécurité et stabilité stratégique du cyberespace
252
1. Régulation internationale du cyberespace : de quoi parle-t-on ?252
2. La séquence onusienne : droit international et cyberespace254
a. Faut-il un « traité du cyberespace » ?254
b. Le traitement du sujet à l'ONU255
c. Les travaux du GGE256
3. La convention de Budapest : coopération internationale et cybercriminalité262
4. L'arrangement de Wassenaar : contrôle des exportations et sécurité numérique263
5. Perspectives actuelles et futures265
a. Acteurs : au-delà des États, une implication croissante du secteur privé265
b. Sujets : continuer à construire le cadre juridique et à renforcer la coopération internationale266
c. Des enceintes multilatérales variées266
Chapitre 6. Une brève histoire de la sécurité numérique en France271
Introduction : « celui qui ne sait pas d'où il vient ne peut savoir où il va »271
I. Cadrage de l'exercice : jusqu'à quand remonter ?
272
II. Les temps anciens : de l'invention de l'imprimerie à la fin du XIXe siècle
275
III. L'ère contemporaine « pré-électronique »
276
1. De 1870 à la Première Guerre mondiale276
2. La Première Guerre mondiale278
3. Conclusions intermédiaires280
4. L'entre-deux-guerres281
5. La Seconde Guerre mondiale284
IV. La deuxième partie du XXe siècle et la numérisation
289
1. Les années 1950 et 1960289
2. Les années 1970294
3. Les années 1980 et 1990295
4. Des années 2000 à nos jours299
5. Conclusions finales du chapitre301
Remerciements303
Glossaire des acronymes et sigles305
Références313
I. Livres
313
1. Sur la sécurité numérique ou fortement connexes313
2. Pour lire l'histoire de la sécurité numérique314
3. Sur d'autres sujets315
II. Textes officiels
316
1. Textes réglementaires français316
a. Arrêtés316
b. Constitution316
c. Décrets316
d. Instructions interministérielles317
e. Lois318
f. Ordonnance318
2. Textes réglementaires internationaux319
a. Divers319
b. États-Unis d'Amérique319
c. Organisation des Nations unies319
d. Union européenne321
3. Textes doctrinaux et rapports divers322
a. France322
b. International324
III. Articles, publications et références web
324
1. France324
2. International326