Forum International de la Cybersécurité

Édition 2016 à Lille

Forum International de la Cybersécurité

Le FIC en quelques mots : le Forum International de la Cybersécurité est un événement organisé par le CEIS, la Gendarmerie Nationale, Euratechnologies et la région Nord-Pas-de-Calais Picardie et rassemble près de 5000 experts. Des partenaires institutionnels ou industriels, des écoles, des universités, des ateliers, des démonstrations, des interviews sur plateau TV, des challenges, des remises de prix littéraires… Le FIC est un lieu d’échange privilégié en matière de cybersécurité et rassemble les meilleurs spécialistes.


FIC_Xavier_Bertrand

  • Ouverture du forum – Mots d’accueil de Xavier Bertrand, Président de la Région Nord-Pas-de-Calais Picardie et Denis Favier, Directeur Général de la Gendarmerie Nationale

Xavier Bertrand, au cours de son intervention d’ouverture du forum, a tout d’abord rappelé l’importance d’une collaboration entre 73 pays sur la question de la cybersécurité, et le rôle que joue la région dans la lutte contre les cybermenaces. Une proximité avec Bruxelles facilitant les échanges européens et permettant de mieux appréhender les enjeux de défense dont il est question : utiliser les nouveaux moyens de communication pour mieux informer les citoyens, adapter l’arsenal juridique concernant les infractions d’usurpation, vol des données personnelles, etc… en donnant plus de pouvoirs à l’ANSSI et utiliser les systèmes de traitement, Big data, pour donner plus d’efficacité à la Gendarmerie Nationale.

Le Président a notamment rappelé le nombre important d’entreprises innovantes dans la région en terme de numérique, grandes entreprises, PME ou même start-ups. Le numérique, c’est 6500 emplois et le chiffre ne cessent d’augmenter. Il est ainsi prévu de renforcer la vidéo surveillance en Nord-Pas-de-Calais Picardie, ainsi que de développer la vidéo-médecine.

Tout le monde étant concerné dans le traitement des données personnelles et de l’utilisation qui peut en être fait, Xavier Bertrand a évoqué le projet de souveraineté nationale qui est en discussion au niveau européen.


FIC_Denis_Favier

Denis Favier, Directeur Général de la Gendarmerie Nationale, a évoqué l’investissement durable de la région sur la question de la cybersécurité, et la volonté de la Gendarmerie échanger et de communiquer sur les enjeux qu’elle implique.

L’essor du numérique conduit la Gendarmerie à moderniser ses moyens d’actions et à prévoir de nouveaux outils : le dossier Néogen prévoit ainsi que tous les agents seront équipés d’un smartphone dans la région Nord-Pas-de-Calais Picardie depuis Septembre 2015, projet étendu à la Bourgogne en 2016 et dans l’ensemble du territoire d’ici à 2017. Cette idée permettra ainsi aux agents d’être plus proches des citoyens et de mieux comprendre leurs problématiques.


FIC_Stephane_Richard

  • Discours de Stéphane Richard, Président Directeur Général d’Orange

Orange est présent dans 100 pays, et dans près de 30 en tant qu’opérateur. Lors d’un récent discours, Jean-Yves Le Drian a d’ailleurs évoqué le fait qu’Orange a inventé la notion de cyberdéfense.

Stéphane Richard a rappelé la création, il y a 2 ans, d’Orange Cyber Défense, qui rassemble près de 1000 collaborateurs/experts. En ce sens, Orange a pour ambition de devenir le premier expert français et international sur la question de la cybersécurité.

Stéphane Richard a par ailleurs parlé de l’explosion des attaques par déni de service (attaques informatiques qui visent à saturer le réseau d’une victime pour l’empêcher d’utiliser son site/sa connexion, de même que pour tous les internautes qui souhaiteraient y accéder) et des contaminations par malwares.

En parfait homme d’affaire, le PDG d’Orange précise qu’il est important, au sein d’une entreprise, que le management identifie ce qu’il est essentiel de protéger et quels moyens mettre en œuvre pour assurer la sécurité.

En effet, si la sécurité informatique est perçue comme une contrainte et comme une obligation, elle sera inévitablement contournée. Il est alors nécessaire de l’aborder avec une approche d’entrepreneurs, et placer la sécurité au centre des services.

Stéphane Richard a enfin évoqué qu’est prévue la constitution de clusters (un cluster est un ensemble de serveurs constitué de deux serveurs au minimum et qui partage une ou plusieurs baies de disques) dans différentes régions.


  • Table RondeVa-t-on vers une crise de confiance des utilisateurs ? avec Jean-Yves Latournerie, Préfet chargé de la lutte contre les cybermenaces, François Lavaste, Président de Cybersecurity Airbus Defense & Space, Guillaume Poupard, Directeur Général de l’ANSSI, Sir David Omand, ancien directeur de la Global Commission on Internet Governance, Nicolas Arpagian, Directeur de la Stratégie chez Orange, et Jérémie Zimmerman, Confondateur de la Quadrature du Net

Jérémie Zimmerman, de La Quadrature du Net, qui considère qu’il y a une vraie crise de confiance des utilisateurs, symbolisée par les affaires PRISM et Quantum, les agences et gouvernements qui récupèrent massivement les données des utilisateurs. Sur cette question s’est tenu un débat et des pics lancés par ce dernier à l’encontre de Sir David Omand, qui a considéré que la surveillance de masse n’est pas si importante qu’on le croit et qu’il a pu le constater lors de ses actions au sein de la Global Commission on Internet Governance (commission mondiale de la gouvernance d’internet).

Les autres intervenants étaient en revanche tous d’accord pour dire qu’il n’y a pas de crise de confiance des utilisateurs, qu’il y a une prise de conscience des risques quant aux données personnelles, qui apparaît notamment quant au fait que les internautes demandent, de plus en plus, des comptes afin de connaître l’utilisation qui est faite de leurs données.

Si les internautes sont bel et biens conscients des dangers potentiels, Jean-Yves Latournerie, préfet chargé de la cybercriminalité, estime que cette prise de conscience doit cependant continuer et être plus importante.

Tous s’accordaient sur le fait qu’à l’heure du progrès numérique, il était nécessaire de s’y adapter et d’apporter les réponses nécessaires pour que la cybercriminalité soit combattue, et que cela passe par la communication des dangers auxquels s’exposent les internautes.

D’un point de vue technologique, Nicolas Arpagian, Directeur de la Stratégie chez Orange, précise que même les moyens les plus rustiques fonctionnent et qu’il n’y a aucune barrière à l’insécurité (le pirate profitera de la moindre faille). Des millions d’euros sont alors investis dans les labos, notamment ceux d’Orange Cyber Security.

L’objectif est donc de comprendre les moyens d’actions des pirates, leurs intentions, afin de mieux les anticiper et de fermer la porte aux attaques informatiques. L’analyse précise du réseau permettra d’en concevoir la meilleure défense.

Un second pôle d’expertise d’Orange est prévu prochainement dans la région Nord-Pas-de-Calais Picardie a finalement annoncé Nicolas Arpagian.

Au niveau du comportement des utilisateurs, Guillaume Poupard, Directeur Général de l’ANSSI, préconise une sensibilisation des enfants dès la primaire, notamment sur la question des mots de passe. Il déplore également un manque de formation des informaticiens BAC +5, qui traitent de cybersécurité mais qui n’y ont jamais été formés en amont au cours de leurs études.

Nicolas Arpagian poursuit dans cette logique et a considéré que le message répressif n’est pas suffisant et qu’il faut davantage donner conscience des conséquences (il a notamment donné l’exemple des cigarettes, dont le message répressif n’a que très peu fonctionné vis à vis des fumeurs).

Si Jérémie Zimmerman a fini par se perdre dans des débats politiques et polémiques hors de propos, tous les autres intervenants ont conclu en évoquant l’importance de la prévention, de la cyber et de la privacy by design, établir des stratégies à l’avance pour lutter plus efficacement contre les cybermenaces, agir en amont plutôt que de réagir.


FIC_Gunther_Oettinger

  • Allocution de Günther Oettinger, Commissaire européen chargé de l’économie numérique

Comme bon nombre d’intervenants ce jour, Günther Oettinger a rappelé que la cybersécurité est une question globale qui touche tout le monde. Elle représente selon lui le challenge majeur de l’Union Européenne actuellement, notamment en raison du fait que l’économie repose de plus en plus sur les nouvelles technologies, de même que les transports ou encore l’énergie.

En terme de cybercriminalité, Oettinger a utilisé une formule pour le moins éloquente : « Cyberthreats do not respect borders ». En ce sens, il est primordial que les Etats coopèrent entre eux sur cette question.

A l’heure de l’explosion du nombre d’objets connectés, les préoccupations autour de la cybersécurité sont de plus en plus problématiques, et les entreprises doivent avoir accès à tous les moyens de protection nécessaires, ainsi qu’aux procédés de sécurité et de certification.

Comme lors de la table ronde qui a précédé, Oettinger a rappelé l’importance de la security/privacy by design.

A la suite de l’arrêt Schrems du 6 Octobre 2015 invalidant le Safe Harbor, des discussions sont actuellement en cours concernant un éventuel Safe Harbor 2 et une nouvelle règle de protection des données lors de leur transfert. La directive sur la protection des données en cours de travail devrait prévoir un haut niveau de protection.


  • Table RondeLa Nouvelle Cybercriminalité liée aux données avec Jean-Dominique Nollet, Colonel de la Gendarmerie, Luc Delpha, Provadys, Aurélien Leicknam, RSSI de Jaguar Network, et François-Xavier Masson, de la Police nationale

Une fois encore, le maître mot de l’intervention est la prévention qui doit être faite aux internautes.

Au sujet du vol de données, les intervenants ont précisé l’importance de l’identification des victimes. Selon les statistiques de la Police Nationale, il s’agit majoritairement des particuliers, des entreprises et des Etats.

Ainsi, entre 2013 et 2014, a été constatée une hausse de 74% des vols d’identité sur internet, infraction la plus courante.

Plusieurs milliards de données ont désormais été volées.

Le RSSI de Jaguar Network a donné des chiffres concernant les attaques par déni de service qui sont les plus courantes, et dont le nombre a explosé entre 2014 et 2015.

Alors, quels sont les enjeux de ces vols de données ?

Là encore, tous les intervenants sont d’accord : l’argent. La plupart des cybercriminels sont liés à des activités criminelles, les données sont revendues (fraude, usurpation) et réutilisées à des fins frauduleuses. De plus, le marché est extrêmement fort et sont importance ne cesse de croître, l’offre et la demande explosent.

La monétisation des données personnelles n’est pas illégale (près d’une entreprise sur trois, notamment dans les domaines de la télécom, distribution, ou santé, l’utilisent à des fins utiles).

Pour assurer une meilleure protection il serait nécessaire de savoir précisément où vont les données qui sont collectées. C’est là la grande question et il est très souvent difficile d’y répondre au sein des grandes entreprises.

La prise de conscience est encore relativement limitée et les moyens dont disposent les cybercriminels sont de plus en plus performants : certains professionnels ne maitrisent d’ailleurs même plus leur environnement et à l’heure de l’utilisation de plus en plus importante des systèmes de Cloud, on observe même une déresponsabilisation de ces derniers à ce sujet.

Les intervenants ont évoqué le problème de la dualité informatique et sécurité et de l’approche à adopter : faut-il se contenter des mises à jour et de patchs ? ou faut-il élaborer des stratégies de défense ? Evidemment, la seconde approche est celle qui a été largement plébiscitée par les experts sur la question.

Les intervenants de la Police et de la Gendarmerie sont enfin arrivés à la même conclusion : en terme de cybercriminalité, quand le constat de l’infraction intervient ou qu’une plainte est portée à leur connaissance, il est déjà trop tard pour intervenir, à la différence des infractions commises dans le monde « réel ».

Ils se sont cependant satisfait de la coopération entre leurs services et les FAI, qui se révèle très efficace.

Enfin, a été évoqué un projet de plainte en ligne concernant les cyberattaques, une interface directe en matière d’escroquerie (différente de la pré-plainte en ligne qui existe déjà mais qui est plus indirecte). Aujourd’hui, seuls deux parquets sont spécialisés sur la question, et aucun parquet de jugement – une spécialisation des parquets est actuellement en discussion, et notamment l’éventuelle création d’un parquet national réglant les questions de cybercriminalité, tout comme existent déjà des parquets antiterroriste et financier.


FIC_table_ronde_donnees

  • Table rondeLes données, une chance pour l’Europe ? avec Isabelle Falque-Pierrotin, Présidente de la CNIL, David Martinon, ambassadeur pour la cyberdiplomatie et l’économie numérique, Yves Eudes, journaliste Le Monde, Olivier Burgersdijk, de Europol, Jakub Boratinsky, chef d’unité en charge des négociations de la Directive NIS

 L’ensemble des intervenants se sont accordés pour dire que les données personnelles sont un élément de droit fondamental. En effet, la première directive relative au traitement des données personnelles a été adoptée dès 1995. Les données personnelles sont en ce sens tant sujets qu’actrice de l’économie numérique.

Le règlement européen à venir a ainsi pour but de créer un marché européen de la donnée a rappelé Isabelle Falque-Pierrotin. N’importe quel acteur se verra désormais soumis au droit de l’UE dès lors qu’il traite des données personnelles. C’est également ce pourquoi la directrice de la CNIl considère qu’il est nécessaire de créer une souveraineté de la donnée au sein de ce marché européen.

En ce sens, un cloud européen est également en train d’être construit par les entreprises européennes.

Les données sont bel et bien une chance pour l’Europe et chacun des professionnels présents pour cette table ronde en est venue à la conclusion : il faut néanmoins coopérer avec le secteur privé afin de mieux lutter contre la cybercriminalité, limiter la bureaucratie et prendre plus de mesures permettant d’évaluer les risques : simplifier les réglementations.

L’unification des règles européennes est nécessaire afin de permettre à toutes les entreprises européennes d’être sur un même pied d’égalité.

Olivier Burgersdijk, de Europol, l’agence européenne de lutte contre les cybermenaces, évoque alors l’influence de la France dans le domaine : la loi de 1978 créant la CNIl a été suivie par le directive de 1995.

Il importe de faire de la donnée un actif concurrentiel au sein de l’Union Européenne et permettre une bonne coopération entre les différents Etats, ce qui est aujourd’hui le cas, même s’il reste quelques exceptions de pays qui manquent encore des ressources suffisantes.

Enfin, les intervenants ont longuement débattu sur la possibilité de créer des GAFA européens, à l’image des GAFA aux Etats Unis dont l’influence n’est plus à démontrer. Concernant le Safe Harbor, invalidé en Octobre 2015 à la suite de l’arrêt Schrems, Isabelle Falque-Pierrotin a évoqué son avenir, et notamment le fait que se tiendrait, début Février, une réunion du G29 (rassemblement des CNIL des pays membres) pour déterminer ce qu’il adviendrait de l’annulation du Safe Harbor, et l’évocation d’un éventuel Safe Harbor 2, sur lequel la présidente de la CNIL est restée plutôt discrète. David Martinon a de plus précisé que les Etats européens sont en désaccord sur ce sujet et qu’il semble peu probable qu’il aboutisse dans les mois qui viennent.


FIC_Bernard_Cazeneuve_b

  • Ouverture de la 2ème journée du FIC la Mardi 26 Janvier 2016 – Allocution de Bernard Cazeneuve, Ministre de l’Intérieur

Très attendu, le ministre de l’Intérieur Bernard Cazeneuve a débuté son allocution en rappelant le rôle majeur d’internet dans la djihadisme et la radicalisation. C’est en effet le lieu de radicalisation principal actuellement.

Aussi, le ministre a évoqué la création de l’Office Centrale de lutte contre la criminalité liée au NTIC, qui a participé au déréférencement et blocage de sites terroristes. Ont ainsi été traitées près de 1000 demandes de retrait, pour un total effectif de 283 blocages en 2015. Depuis les attentats de Janvier 2015, ce sont aussi 32000 demandes qui ont été reçues par la plateforme Pharos de la police judiciaire. Ces procédures de dénonciation de sites terroristes et/ou à tendance djihadiste ont besoin d’être généralisées au niveau européen pour une lutte plus efficace a considéré Mr Cazeneuve.

Monsieur le Ministre a parlé de ses déplacements passés et futurs en Californie afin de rencontrer les grands acteurs du numérique, en vue d’établir des partenariats et d’adapter les circuits de validation. Une plus grande lutte passe par une collaboration avec ces acteurs importants et influents.

Le travail du préfet chargé de la lutte contre la cybercriminalité, Jean-Yves Latournerie, a été transformé en délégation ministérielle récemment. Dans le même sens, les effectifs en charge de la lutte anti-cybercriminalité ne cesse d’augmenter.

Toujours dans une optique d’efficacité, 108 millions d’euros vont être investis d’ici à 2017 dans le cadre d’un plan de modernisation de la sécurité et de création de nouveaux services numériques. Dans la région Nord-Pas-de-Calais Picardie existe

déjà NeoGend, qui comprend près de 2000 équipements de haut niveau de mobilité opérationnelle : des équipements qu’il faut désormais généraliser et investir sur l’ensemble du territoire.

Enfin, toujours dans l’effort de la lutte contre la cybercriminalité, Bernard Cazeneuve a jugé que l’accueil des victimes devait être amélioré, de même que la communication autour des dangers potentiels. Un groupe de travail considéré du préfet Latournerie et du Directeur Général de l’ANSSI a été constitué dans ce but. Les enquêtes anonymes viennent également d’être étendues au domaine de la criminalité numérique.


FIC_John_Hayes

  • Allocution de John Hayes, Ministre anglais de la sécurité

Les principales préoccupations en matière de données des anglais sont identiques à celle de l’ensemble des européens : la sécurité des données personnelles est primordiale pour les entreprises et la menace est plus forte que jamais.

Le ministre anglais de la sécurité John Hayes a argumenté en donnant quelques chiffres : au Royaume Uni en 2015, 19% des entreprises ont connu des cyberattaques. Malgré tout, environ 80% des entreprises britanniques considèrent comprendre et intégrer la cybersécurité comme une priorité, ce qui est plus qu’en France.

Plusieurs centaines de millions d’euros vont être investis dans la lutte anti-cybercriminalité au Royaume-Uni, et l’unité cybercrim va voir une hausse conséquente de ses moyens d’actions.

Comme évoqué lors d’une précédente table ronde au cours de la première journée du FIC, John Hayes considère qu’il est impératif de former dès le plus jeune âge à la sécurité informatique.


  • Table RondeQuelle souveraineté sur les données ? avec Guillaume Blot, Etalab, Jean-Baptiste Carpentier, délégué interministériel à l’intelligence économique, Romain Galesne-Fontaine, directeur des affaires publiques au Groupe Imprimerie Nationale, Pierre Chastanet, Député européen en charge de la sécurité et de la confiance numérique et Jean Pierre Quémard, Président de l’Alliance pour la confiance numérique

Si souveraineté des données il doit y avoir, il est impératif de qu’un citoyen puisse savoir quelles règles vont s’appliquer s’agissant de la gestion de ses données. Dans le projet de loi pour une République Numérique, il est prévu que la souveraineté des données remplacerait leur propriété.

La nature des données et la protection qui y est inhérente va dépendre de l’usage qui en sera fait.

La question s’est posée concernant par exemple les données des utilisateurs de Facebook : celles-ci sont de nationalité américaine, or on sait que la vision des américains sur la vie privée est très différente de celle des européens.

C’est pourquoi les intervenants ont rappelé que l’Allemagne avait un temps essayé de créer un espace Schengen numérique, afin de contrôler les flux transfrontaliers des données.

De plus, il est important de rappeler que le droit à l’oubli souvent évoqué doit impliquer le droit pour les utilisateurs de savoir où sont stockées leurs données.

En France, a récemment été nommé un administrateur général des données, Henri Verdier.

En guise de conclusion, les professionnels rassemblés à l’occasion de cette table ronde sont tombés d’accord pour dire que la question de la souveraineté des données qui est prévue doit d’abord passer par une identification des traces qui sont laissées par chaque individu.


  • Ce qu’il faut retenir:

Quels sont les mots clés à retenir de ce très enrichissant forum de la cybersécurité consacré aux données ?

Les maîtres mots seront : prévention, formation, information, vigilance, anticipation, stratégie, privacy by design.

La question des données concerne tout le monde et chacun doit se sentir concerné par la lutte contre la cybercriminalité.

  • Le FIC en chiffres : 4350 participants, 140 partenaires, 7000 m2 d’exposition, 60 tables rondes et 300 intervenants, 3 Challenges, 1 plateau TV, des démonstrations techniques et 1 prix de la PME innovante.

Thibault Brunel

Membre de l’association des Juristes du Numérique

Promotion 2015 - 2016