Cyberdéfense: le gouvernement veut s'attaquer au maillon faible des sous-traitants des industriels

La cyber-attaque de janvier dernier contre Airbus a laissé des traces. En juin dernier, Asco, un autre sous-traitant de l'avionneur européen, faisait aussi les frais d’une intrusion sur son réseau. Même chose pour Altran. Il est notamment apparu que les sous-traitants qui fournissent ce type de géants industriels deviennent des vecteurs d'attaque car ils sont moins sécurisés que leurs clients.

Lors des Assises de la sécurité qui se sont tenues du 9 au 12 octobre dernier, Guillaume Poupard, directeur général de l’Agence nationale pour la sécurité des systèmes informatiques (Anssi) s'inquiétait de cette nouvelle tendance. "A force de sécuriser les grands groupes, les attaquants passent de plus en plus par les fournisseurs ou les sous-traitants qui ont un accès privilégié à leurs systèmes d’information". 

Si la France a pris de nombreuses mesures pour accompagner les entreprises (voire en contraindre certaines, notamment les opérateurs d'intérêt vital) dans leur sécurisation face à des attaques toujours plus nombreuses et sophistiquées, le gouvernement entend aller plus loin pour contrecarrer les cyber-attaques visant les "maîtres d'oeuvre industriels" à travers leurs sous-traitants.

La ministre des Armées Florence Parly doit ainsi signer ce jeudi avec huit de ces groupes (Airbus, ArianeGroup, MBDA, Nexter, Safran, Thalès, Dassault et Naval Group), une convention d'une durée de trois ans.

Il y avait la "nécessité" d'un "engagement plus fort des différentes parties, pour échanger les données, les bonnes pratiques, prendre en compte la chaîne de sous-traitance", explique l'entourage de Florence Parly cité par l'AFP. Cette "convention" se veut un "pas en avant assez conséquent".

Faibles ressources allouées à la sécurité informatique

"Certains maîtres d'oeuvre industriels ne se soucient pas suffisamment de leur sous-traitants et de la manière dont ils traitent les données sensibles", pointe-t-on à l'Hôtel de Brienne, "sans généraliser".

"Depuis quelques années, les grandes entreprises ont considérablement investi dans des solutions de sécurité informatique renforcées et perfectionnées, rendant les intrusions plus difficiles à mener. Ces entreprises sous-traitent beaucoup à de petites et moyennes entreprises (PME) avec lesquelles elles vont échanger des données confidentielles. Mais ces PME ne disposent souvent pas des mêmes dispositifs de cybersécurité que leurs clients : c’est dans cette brèche que vont s’infiltrer les pirates. Les PME sont ainsi particulièrement visées par les cyberattaques en raison de faibles ressources allouées à la sécurité informatique. Ce qui, en plus d’augmenter leur vulnérabilité, rallonge le temps de détection d’une attaque", confirme Alexandra Alguazil, Partner Account Manager France chez Avast (éditeur de sécurité). 

Partager les informations

La convention doit "permettre un partage plus unifié des informations, plus de réactivité aussi", et prévoit notamment des entraînements et exercices communs pour tester le processus de gestion de crise, indique le cabinet de la ministre. "Le champ d'application de cette convention dépasse ce qui existe aujourd'hui, qui est construit assez largement sur la sécurité des systèmes d'information (SSI), ce qui est un petit peu daté et un peu dépassé par rapport aux capacités des attaquants et aux menaces actuelles."

"Il faut basculer dans le monde de la cyberdéfense, qui est beaucoup plus large que la SSI", poursuit la même source. "C'est quelque chose que nous avons fait au ministère des Armées, c'était l'objectif de la création du commandement militaire de la cyberdéfense", (Comcyber) dont le centre de commandement a été inauguré début octobre à Rennes. "On constate qu'il est nécessaire que tous nos partenaires le fassent aussi. C'est une chaîne, le niveau de protection est bon si tous les maillons sont bons."

La cyberdéfense a été érigée au rang de "priorité absolue du ministère des Armées" par Florence Parly, et la Loi de programmation militaire (LPM) 2019-2025 prévoit le recrutement par les armées de 1000 cybercombattants supplémentaires pour atteindre un effectif de 4000 personnes d'ici sept ans.