La France renforce son arsenal contre les cybermenaces. C'est d'ailleurs l'un des volets les plus sensibles de la Loi programmation militaire (LPM), actuellement examinée à l'Assemblée nationale. Un volet qui est passé relativement inaperçu mais qui sera capital pour tenter d'anticiper, puis de parer une attaque électronique d'envergure de type Ransomware (Petya, WannaCry...) contre les réseaux de communications électroniques français, qui ne sont pas aujourd'hui surveillés... ou très peu. Car les opérateurs n'ont pas aujourd'hui le droit de savoir ce qui se passe dans leurs réseaux, sauf dérogation exceptionnelle.
L'article 19 de la LPM va donc combler une grave lacune dans le dispositif de lutte contre les cyberattaques, qui était exploitée par des hackers étrangers. "La France était devenue les Iles Caïmans des hackers, explique-t-on à La Tribune. Détecter un virus est le plus important dans la lutte contre les cybermenaces". Des pays alliés ont constaté ces derniers mois des attaques depuis des serveurs loués en France mais contrôlés à l'étranger. Avec l'article 19 de la LPM, "on évite d'être le maillon faible", estime-t-on.
Sur la base du volontariat
La France a décidé de plus être le maillon faible. Et ce ne sera plus le cas à condition que les opérateurs français (Orange, Free, SFR...) jouent "sur la base du volontariat" le jeu du ministère des Armées "en installant sur leurs réseaux des marqueurs techniques pour détecter les virus susceptibles d'affecter la sécurité des systèmes d'information", dont leurs abonnés, précise-t-on à La Tribune. Ce qui n'était pas permis jusqu'ici aux opérateurs. Une fois votée, la LPM va leur donner "le droit de rechercher les virus dans leurs propres tuyaux là où il y a le plus de trafic", souligne-t-on.
"Nous comptons sur la coopération des opérateurs, qui vont de fait améliorer la qualité de leur service. Ils doivent nous faire confiance. Nous estimons que les opérateurs seront de bonne volonté pour ne pas être accusés d'être des propagateurs de virus... C'est pour cela que nous n'avons pas souhaité leur tordre le bras".
En contrepartie du volontariat des opérateurs, l'Autorité nationale de sécurité des systèmes d'information (ANSSI) pourra fournir aux opérateurs la signature de certains virus afin qu'ils les détectent. Ces derniers auront alors obligation de prévenir sans délai du danger l'ANSSI qui pourra imposer aux opérateurs de prévenir leurs abonnés de la "vulnérabilité ou de l'atteinte de leurs système d'information". Le ministère des Armées a toutefois mis des gardes-fous pour ne pas être accusé d'espionner les Français. Dans ce cadre, les données recueillies autre que celles directement utiles à la prévention des menaces sont immédiatement détruites", selon l'article 19. "Nous ne nous intéressons pas au contenu du mail mais au virus dans le mail", assure-t-on à La Tribune.
L'ANSSI en première ligne, l'ARCEP veille au respect des lois
En cas d'attaque imminente contre les autorités publiques et/ou des opérateurs d'importance vitale (OIV) tels que EDF, ADP..., l'ANSSI débarquera quoiqu'il arrive chez les opérateurs et les hébergeurs pour placer un système de détection sur leur réseau ou sur leur système d'information. Les agents de l'ANSSI seront autorisés à procéder au recueil et à l'analyse des seules données strictement pertinentes afin de caractériser la future attaque. Ce qui n'était jusqu'ici pas possible à l'ANSSI - prendre le contrôle d'un hébergeur pour savoir qui est derrière l'attaque -, le sera désormais grâce à l'article 19 de la LPM. Les données pourront être conservées cinq ans maximum.
Enfin, cet article prévoit que l'Autorité de régulation des communications électroniques et des postes (ARCEP), seule agence indépendante possédant la capacité technique pour vérifier si les données sont polluées ou pas, sera chargée de veiller au respect par l'ANSSI de la nouvelle réglementation. Un dispositif qui va augmenter la résilience de la France face aux cyberattaques mais qui ne sera pas à mettre dans toutes les mains...