REVUE

Recommendations

Info

Les acteurs régaLiens LES ACTEurS réGALIEnS DE LA CyBErSéCurITé ET SA GouVErnAnCE appel à des réservistes de la réserve citoyenne, ce qui me paraît en France, en tout cas pour ce qui concerne le ministère de la défense, le bon cadre d’action pour aller vers ce genre d’actions, d’autant plus que je peux habiliter le personnel. La place de l’industrie est énorme. on voit bien aujourd’hui que les grands opérateurs de la cybersécurité comme (12) Société américaine spécialisée dans les logiciels informatiques (13) Société russe spécialisée dans la protection des systèmes d’information (14) Direction interarmées des réseaux d'infrastructure et des systèmes d'information de la Défense SymAnTEC 12 ou KASPErSKy 13 ont une place de choix. Ce que l’on peut regretter, c’est que parmi ces grands acteurs, il y a très peu d’Européens et encore moins de Français. Pour nous, ça pose clairement un vrai problème parce que nous sommes obligés, pour protéger nos réseaux, les réseaux de la DIrISI 14 par exemple, de faire appel à des services émanant de différents pays. Pour nous cela représente quelque 25 pays très divers. La stratégie que nous adoptons pour l’instant consiste à panacher des produits venant de l’Est avec des produits venant de l’ouest pour que nos données passent à travers ces différents filtres. on attend avec impatience l’arrivée de grands acteurs étatiques compétents. Il faut être Français et compétent, du moins je préférerais dire, compétent et Français pour pouvoir refaire partie du cercle des gens que l’on mettra sur nos réseaux et (15) Pôle d’excellence cyber (16) Plan France numérique 2012-2020 (http://www.entreprises.gou v.fr/) c’est bien toute l’action qui est lancée à travers le PEC de Bretagne 15 , à travers le P33 16 , à travers tout ce qui est lancé actuellement pour faire immerger une vraie offre de sécurité avec des sociétés de taille acceptable en France. nous avons beaucoup de PmE très innovantes, beaucoup de petites sociétés de services mais quand on leur demande la taille de leurs équipes un peu pointues , la réponse est souvent minimaliste. nous en avons de l’ordre de quelques centaines dans les différents services de l’état, mais on a besoin d’avoir des acteurs de taille moyenne capables de mobiliser des équipes de pentest de l’ordre de 50 à 100 personnes. Si vous considérez les sociétés françaises, ça se compte sur les doigts de la main. guillaume PouPard - directeur général de l'anssi Aujourd’hui mes capacités d’audit sont de l’ordre de 70 audits par an. C’est beaucoup, certes, mais c’est très peu en pratique face au besoin qui se présente. Les audits sont nécessaires en amont, lors des inspections des ministères ou bien chez certains oIV, pendant le traitement des affaires. Les 70 « tickets » que j’ai à ma disposition sont extrêmement vite consommés et toute la question est de savoir comment faire pour traiter tout le reste ? L’amiral vient de le dire, au sein du ministère de la défense il 36 Revue de la Gendarmerie Nationale 4 e trimestre 2016
Les acteurs régaLiens LES ACTEurS réGALIEnS DE LA CyBErSéCurITé ET SA GouVErnAnCE y a des capacités d’audit à peu près comparables. même si on voulait se passer du secteur privé dans ce domaine, cela n’aurait aucun sens. La cybersécurité est une question qui doit être normalisée, traitée comme les autres et les prestataires privés ont un rôle fondamental à jouer. Comment peut-on promouvoir cela ? Tout d’abord, nous avons des liens étroits avec la plupart des personnes qui produisent des équipements de sécurité ou qui proposent des services de sécurité. Ensuite, nous considérons que le rôle de l’état n’est pas de tout faire mais d’indiquer vers qui se tourner pour faire le travail efficacement. C’est exactement la démarche de qualification qui est en place et qui consiste à vérifier qu’un acteur qui propose des produits ou des services est à la fois compétent et de confiance, ainsi que le disait l’amiral. Il y a des personnes très compétentes mais d’une confiance très limitée de notre point de vue national. Il y a également des personnes qui sont de confiance mais pas compétentes : celles-là je vous les déconseille, c’est évident, avec eux vous allez dépenser votre argent pour rien. nous avons vraiment besoin de ces deux qualités qui sont complètement orthogonales. Cela ne se décrète bien évidemment pas sur la bonne tête des uns et des autres ou sur les bonnes relations que nous pouvons avoir. Ce n’est que le fruit d’un processus sérieux d’évaluation sur la base de règles du jeu claires et ouvertes. Concrètement, nous produisons des référentiels qui sont publics et qui expliquent ce que nous attendons d’un prestataire de services de sécurité. Ensuite, nous évaluons les prestataires, au vu de ce référentiel, ou, plus exactement, nous les faisons évaluer de manière indirecte par des laboratoires indépendants, comme pour les produits de sécurité. Parfois même, nous sommes obligés d’évaluer les experts, un par un, parce que nous savons très bien, dans le cas type des audits, des pentests qu’il faut avoir confiance dans l’entité mais également dans la personne qui va mener le test lui-même. C’est extrêmement compliqué et lourd, mais in fine, quand on a fait tout ce travail, on peut dire, au nom de l’état français, au nom du Premier ministre que tel prestataire a la compétence et le potentiel pour mener, par exemple, des audits. C’est tout (17) référentiel d’exigence applicable aux prestataires d’audit de la sécurité des systèmes d’information l’intérêt du référentiel PASSI 17 et du dispositif PASSI qui sont en place et déjà opérationnels. Arnaud CouSTILLIErE se plaint un peu du manque d’acteurs. En ce qui me concerne, je suis au contraire agréablement surpris du nombre d’acteurs qualifiés et de la qualité du travail réalisé aujourd’hui . on peut se demander si c’est encore suffisant pour répondre à la demande, mais il s’agit plutôt ici d’un problème positif. La même démarche est amorcée 4 e trimestre 2016 Revue de la Gendarmerie Nationale 37
Page 1 and 2: INTERNATIONAL > Safe Harbour DROIT
Page 3 and 4: avant-ProPos numéro 256 Ce que pro
Page 5 and 6: Dossier Une sécurité intelligente
Page 7 and 8: internationaL Vers un agenda franco
Page 9 and 10: internationaL VErS un AGEnDA FrAnCo
Page 15 and 16: internationaL Les implications juri
Page 17 and 18: internationaL LES ImPLICATIonS JurI
Page 23 and 24: société La DAcG et la lutte contr
Page 25 and 26: Les acteurs régaLiens LA DACG ET L
Page 27 and 28: société Les acteurs régaliens de
Page 29 and 30: Les acteurs régaLiens LES ACTEurS
Page 35: Les acteurs régaLiens LES ACTEurS
Page 59 and 60: dossier Le dispositif d’assistanc
Page 61 and 62: dossier Le dispositif d’assistanc
Page 63 and 64: dossier PHAros : agir contre les co
Page 65 and 66: dossier PHAroS : AGIr ConTrE LES Co
Page 67 and 68: dossier PHAroS : AGIr ConTrE LES Co
Page 69 and 70: dossier Les périphériques Usb en
Page 71 and 72: dossier LES PérIPHérIQuES uSB En
Page 73 and 74: dossier Le calculateur quantique, m
Page 75 and 76: dossier LE CALCuLATEur QuAnTIQuE, m
Page 81 and 82: dossier « bug bounty Program » :
Page 83 and 84: dossier « BuG BounTy ProGrAm » :
Page 85 and 86: dossier L’influence de la communa
Page 87 and 88:
dossier L’InFLuEnCE DE LA CommunA
Page 89 and 90:
Page 91 and 92:
Page 93 and 94:
dossier La formation en cybersécur
Page 95 and 96:
dossier LA FormATIon En CyBErSéCur
Page 97 and 98:
dossier Les crypto monnaies : une i
Page 99 and 100:
dossier LES CryPTo monnAIES : unE I
Page 101 and 102:
Page 103 and 104:
Page 105 and 106:
dossier Le cyberespace et les enjeu
Page 107 and 108:
dossier LE CyBErESPACE ET LES EnJEu
Page 109 and 110:
dossier LE CyBErESPACE ET LES EnJEu
Page 111 and 112:
dossier Les enjeux relatifs à la t
Page 113 and 114:
dossier LES EnJEuX rELATIFS À LA T
Page 115 and 116:
Page 117 and 118:
Page 119 and 120:
Page 121 and 122:
dossier Former des citoyens numéri
Page 123 and 124:
dossier FormEr DES CIToyEnS numérI
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
dossier La communication « Machine
Page 131 and 132:
dossier LA CommunICATIon « mACHInE
Page 133 and 134:
dossier LA CommunICATIon « mACHInE
Page 135 and 136:
Comme le prône l'Institut de reche
Page 137 and 138:
techniQue collectivités locales et
Page 139 and 140:
techniQue CoLLECTIVITéS LoCALES ET
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
techniQue La cybersécurité effica
Page 147 and 148:
techniQue LA CyBErSéCurITé EFFICA
Page 149 and 150:
Page 151 and 152:
Page 153 and 154:
techniQue La mission ecoter et les
Page 155 and 156:
techniQue LA mISSIon ECoTEr ET LES
Page 157 and 158:
Page 159 and 160:
Page 161 and 162:
droit Les évolutions en matière d
Page 163 and 164:
droit LES éVoLuTIonS En mATIèrE D
Page 165 and 166:
droit LES éVoLuTIonS En mATIèrE D
Page 167 and 168:
droit cybercriminalité et compéte
Page 169 and 170:
droit CyBErCrImInALITé ET ComPéTE
Page 171 and 172:
droit CyBErCrImInALITé ET ComPéTE
Page 173 and 174:
droit Un autre aspect de la sécuri
Page 175 and 176:
droit un AuTrE ASPECT DE LA SéCurI
Page 177 and 178:
droit un AuTrE ASPECT DE LA SéCurI
Page 179 and 180:
droit régime juridique du ransomwa
Page 181 and 182:
droit réGImE JurIDIQuE Du rAnSomWA
Page 183 and 184:
Page 185 and 186:
Page 187:
Le CECyF Le centre expert contre la
show all

REVUE

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?