L’État français entend soutenir les entreprises spécialisées dans la sécurité informatique. Créé dans le cadre du pacte défense cyber, le pôle d’excellence cyber (en Bretagne) a permis de renforcer cette filière. Et depuis la création du dispositif Rapid en 2009, plus de 13 millions d’euros de subventions ont bénéficié à des PME innovantes dans ce domaine. Cet effort sera poursuivi et accentué dans les prochaines années selon Frédéric Valette. Dans un entretien accordé à SecuriteOff, le responsable du pôle SSI de la DGA précise les autres projets qui seront soutenus par la Délégation Générale de l’Armement. Autres thèmes abordés : les révélations de Snowden, la diabolisation des hackers, le recrutement de spécialistes…
Propos recueillis par Philippe Richard
SecuriteOff : Le pôle d’excellence en cyberdéfense ouvert en Bretagne a des objectifs ambitieux. Dédié à la formation et à la recherche, mais aussi à l’entraînement à la gestion de cyberattaques, il s’appuie sur l’expertise locale en télécommunications et sécurité informatique. Quel premier bilan tirez-vous ?
Frédéric VALETTE, responsable du pôle SSI de la DGA : Si vous me permettez, je voudrais préciser que le pôle SSI dont je suis le responsable regroupe l’ensemble des quelques 280 experts techniques de la DGA qui travaillent dans le domaine de la cyberdéfense. Le pôle d’excellence cyber va lui bien au-delà. Structure informelle, ce pôle a pour vocation de fédérer les compétences cyber sur l’ensemble du territoire breton, tant sur le plan de la formation, de la recherche et technologie que sur celui du développement économique. Depuis son lancement en février 2014 par le ministre de la Défense, Jean-Yves Le Drian, dans le cadre du pacte défense cyber, tous les acteurs concernés se sont placés dans une dynamique de concertation et de coopération renforcées. Nous avons notamment consolidé le recensement des nombreuses formations qui existent dans le domaine cyber en Bretagne et la cartographie des acteurs économiques. Il y a beaucoup de forces en présence mais je peux vous dire qu’il y a aussi une vraie volonté de travailler ensemble et que les synergies fonctionnent. Des résultats très concrets seront annoncés dès cet automne.
SecuriteOff : Le but de l’État français est de créer en Bretagne l’équivalent au pôle aéronautique de Toulouse et de la technopole de Sophia-Antipolis ?
FV : Les objectifs de ce pôle d’excellence sont forts, en effet, avec une vocation nationale et une ambition de rayonnement international. Le pôle s’appuie en particulier, dans le bassin rennais, sur le centre d’expertise DGA Maîtrise de l’information, les centres de formation de l’Ecole des transmissions (ETRS) et des écoles de Saint-Cyr Coëtquidan ainsi que sur un tissu académique et industriel dense. Rien que pour le ministère de la Défense, ce sont déjà plus de 300 personnes qui interviennent sur le domaine cyber en région Bretagne. Et ce nombre est appelé à fortement et rapidement augmenter. Finalement, la logique est simple : dans ce secteur qui demande une forte réactivité, mieux vaut regrouper, rationaliser, travailler tous ensemble, y compris avec les équipes situées en région parisienne, ailleurs en France ou même dans l’Union européenne, plutôt que d’éparpiller les ressources.
SecuriteOff : Pour relever ce défi, il faut atteindre une masse critique pour attirer des étudiants, des experts en sécurité informatique et des start-ups ? Cela implique le développement et le renforcement d’une véritable filière industrielle de cyberdéfense française ?
FV : De fait, le domaine de la cybersécurité a d’ores et déjà atteint un volume critique grâce aux besoins de la défense. Aujourd’hui, l’enjeu c’est que le secteur civil se développe de la même façon, d’autant qu’il s’agit de technologies duales, c’est-à-dire où les solutions militaires intéressent le monde civil, et inversement. Par ailleurs, on peut dire que la filière cybersécurité est déjà bien établie en termes de « services ». Il faut donc désormais mettre davantage l’accent sur les « produits ». Il s’agit là d’une autre ambition du pôle d’excellence cyber en Bretagne : créer, en partant des besoins initiaux de la Défense, un effet de levier et un cercle vertueux pour les entreprises de la filière, qu’il s’agisse de grands groupes ou de PME.
SecuriteOff : C’est la raison pour laquelle la Défense soutient la recherche et le développement, notamment au travers des études en amont et des projets RAPID (Régime d’appui à l’innovation duale), avec des financements pouvant couvrir jusqu’à 80 % des dépenses. Conformément aux engagements du pacte Défense/PME, une attention particulière sera accordée aux PME/PMI ?
FV : Il y a une complémentarité évidente et naturelle entre le pacte défense PME et le pacte défense cyber. Le retour d’expérience montre que, depuis la création du dispositif Rapid en 2009, plus de 13 millions d’euros de subventions ont bénéficié à des PME innovantes dans le domaine cyber, dont plus de 30% à des PME bretonnes. Cet effort sera poursuivi et accentué dans les prochaines années. Pour prendre deux exemples très concrets : d’une part, nous avons présenté en mars dernier à une cinquantaine de PME régionales les orientations technologiques de la DGA dans le domaine cyber à l’horizon 2019. D’autre part, nous avons organisé fin mai à DGA Maîtrise de l’information le premier « club Rapid » réunissant une vingtaine de PME et une dizaine de grands groupes : sur cette seule journée, ce sont plus de 100 « speed meetings » qui ont permis à ces PME innovantes de présenter leur savoir-faire et d’accélérer leur développement. En ce qui concerne la recherche, autre dimension importante du pôle d’excellence, ce sont 2 millions d’euros par an qui seront investis dans l’écosystème rennais, notamment pour le financement de thèses supplémentaires.
SecuriteOff : Seules les entreprises installées en Bretagne bénéficieront de cette aide ?
FV : Bien sûr que non ! Nous ne faisons pas de sélection basée sur des critères géographiques, nous travaillons avec des entreprises de toutes les régions. Nous respectons strictement le code des marchés publics et ses principes fondamentaux d’égalité de traitement et d’accès à la commande publique ! Comme je le disais tout à l’heure, l’un des objectifs du pôle d’excellence est de créer un effet de levier et un cercle vertueux au bénéfice du développement des entreprises nationales de la filière cyber.
SecuriteOff : L’objectif du « Pacte Défense Cyber 2016 : sécuriser les systèmes d’informations vitaux de la France, tels que ceux de l’armement, de l’industrie ou de la finance, et développer une capacité de réponse efficace aux cyberattaques. » Cet objectif montre une évolution des mentalités, car jusqu’à présent il s’agissait plutôt de renforcer sa défense plutôt que d’améliorer ses capacités d’intervention ?
FV : Qui dit intervention ne signifie pas contre-attaque, il s’agit bien en effet de raccourcir la durée entre la détection d’une attaque et la remise en état du système. Les délais d’investigation technique, d’élimination des malwares et de remise en état d’un système sont aujourd’hui trop longs, et ceci n’est pas propre à la France mais s’observe partout. Il est donc très important de ne plus uniquement détecter une attaque en cours au moyen d’une sonde réseau ou d’un corrélateur mais bien de pouvoir en temps réel confiner l’attaque. Le ministère de la Défense a de plus la spécificité d’avoir un grand nombre de systèmes projetés et il faut là encore être en mesure d’intervenir très rapidement pour bloquer une attaque en cours et remettre le système en état de marche.
SecuriteOff : Le Pacte Défense Cyber s’articule autour de 6 axes comprenant plus de 50 actions stratégiques. L’Axe 1 se traduit par 16 actions portant notamment sur l’utilisation de logiciels ou applications développées ou maîtrisées au plan national. Le projet DAVFI apparaît comme l’un des projets les plus avancés et prometteurs ?
FV : Ce projet d’antivirus nouvelle génération, qui est soutenu par la DGA, est en effet très prometteur et les premiers tests sur sa capacité de détection sont très intéressants même s’il reste encore un peu de travail avant d’avoir un outil opérationnel. Mais ce n’est pas le seul, il existe aujourd’hui en France une communauté de PME très innovantes dans le domaine de la cybersécurité et dont les produits peuvent apporter un vrai plus en terme de sécurité et de maîtrise nationale. Ces entreprises sont cependant très fragiles et la transition entre le démonstrateur technologique et le produit industriel est une vraie difficulté pour elles.
SecuriteOff : Quels sont les autres projets pouvant entrer dans cet Axe 1 ?
FV : De nombreux projets portés par des PME sont soutenus par la DGA au travers du dispositif RAPID. Ces projets concernent autant la conception de produits de sécurité innovants, comme des sondes de détection d’intrusion ou des produits de visualisation, que des outils métiers permettant de tester automatiquement un logiciel ou de détecter les erreurs dans du code. Ces produits restent néanmoins très orientés « informatique traditionnelle » et ne tirent que peu parti des spécificités liées à chaque métier. La DGA au travers de ses projets de S&T a lancé des travaux en ce sens, par exemple la sécurisation des plates-formes navales, et va poursuivre cette démarche sur l’ensemble de ses grandes plateformes. Mais ces types de solutions, qui trouvent leurs applications autant dans le domaine militaire que civil, pourraient tout à fait constituer des sujets proposés par des PME dans le cadre du dispositif RAPID.
SecuriteOff : Dans un rapport de 2008, un groupe d’experts de l’armée mettait en garde contre le fait que « l’ensemble des produits américains doivent obtenir l’aval de la National security agency (NSA) pour être exporté. La NSA introduit systématiquement des portes dérobées ou ‘backdoors’ dans les produits logiciels. Un système d’information et de communication reposant majoritairement sur des produits américains comme Microsoft serait vulnérable, car susceptible d’être victime d’une intrusion de la NSA dans sa totalité». Le renouvellement jusqu’en 2017 du contrat-cadre avec Microsoft – dit “contrat open-bar”, est-il compatible avec cet Axe 1 ?
FV : Les révélations Snowden nous ont aussi montré que des logiciels open source, voire des normes publiques, pouvaient aussi être piégés ! C’est pourquoi, lorsqu’ils sécurisent les systèmes du ministère de la Défense, les experts de la DGA mènent une analyse de risque complète, en prenant en compte l’ensemble des menaces, et proposent l’intégration de composants de confiance aux endroits stratégiques du système. La DGA a, par exemple, fait développer des équipements tels que des diodes optiques permettant d’assurer la circulation unidirectionnelle d’un flux réseau ou un hyperviseur de confiance pour faire fonctionner un poste Windows dans un environnement cloisonné.
SecuriteOff : Dans un discours du 21 janvier 2014, à l’occasion du Forum International de la Cybersécurité (FIC) à Lille, M. Jean-Yves Le Drian, ministre de la Défense a déclaré qu’il fallait “recruter des experts, aptes à protéger, détecter, réparer, répliquer”.
Pourquoi ne pas faire appel à la communauté de hackers comme celle qui s’est réunie à la Nuit du hack fin juin ? Il y a un excellent potentiel en France mais ces experts sont « récupérés » par de grandes entreprises étrangères. La “diabolisation des hackers” n’entraine-t-elle pas cette terrible fuite des cerveaux ?
FV : Ce type de challenge, effectivement très populaire, présente un certain nombre d’intérêts. Mais des manifestations comme la conférence SSTIC (symposium sur la sécurité des technologies de l’information et des communications) organisé à Rennes chaque année semblent plus à même de faire progresser le domaine de la cyberdéfense. Il est important de pouvoir structurer en France une recherche académique de haut niveau sur ces sujets, comme savent le faire les Américains ou les Allemands. C’est en effet la connaissance fine des vulnérabilités de systèmes qui permet ensuite de proposer des solutions innovantes permettant de les contrer.
SecuriteOff : De manière plus générale, la cyberdéfense ne peut-elle progresser qu’avec des spécialistes issus de Grandes écoles ?
FV : La cyberdéfense est un sujet qui concerne tout le monde et chacun peut, à son niveau, améliorer la sécurité du système, qu’il s’agisse d’un simple utilisateur, d’un administrateur ou d’un expert. En ce qui concerne la DGA, le recrutement se fait sur des critères certes académiques mais aussi par le biais de challenges techniques qui permettent de départager les candidats et de juger de leur capacité à nous faire progresser. La diversité des profils (qu’il s’agisse d’âge ou de diplôme) des personnes recrutées ces dernières années dans le centre DGA Maitrise de l’information et leur parfaite intégration montrent bien qu’il faut éviter les stéréotypes dans les deux sens.
SecuriteOff : Des challenges organisés par Qwant et DAVFI (lors de la Nuit du Hack 2014) ne montrent-ils pas la voie ? Ne sont-ils pas aussi une réponse “efficace aux cyberattaques” ?
FV : Ces challenges sont intéressants mais, comme tous les challenges organisés par des industriels sur leurs produits (comme les concours Pwn2Own ou Pwnium par exemple), ils profitent plus aux organisateurs et éventuellement aux vainqueurs qu’à la sécurité en général. La véritable priorité est d’avoir une gamme de produits de haut niveau de confiance et de les développer en ayant une architecture robuste et une qualité de développement irréprochable. Car, bien souvent, ces produits de sécurité deviennent la cible des attaquants.
SecuriteOff : Comment voyez-vous l’évolution à long terme de la cyberdéfense ?
FV : Il apparait aujourd’hui qu’il est malheureusement beaucoup plus simple d’attaquer un système que de le défendre. Ce constat peut être rapproché de ce qui existait en cryptographie avant qu’une large communauté académique ne s’y intéresse. Le monde académique, grâce aux travaux de cryptanalyse et de formalisation des propriétés de sécurité, a su apporter une maturité au domaine : il est aujourd’hui particulièrement difficile de « casser » un algorithme établi. On ne peut que souhaiter que la cybersécurité évolue elle aussi dans ce sens grâce par exemple aux produits innovants que le pôle d’excellence cyber ne va pas manquer de susciter.