Pour l'agence de cybersécurité française, il faut que les États conservent le monopole de l'armement informatique, pour éviter un chaos numérique. Elle s'inquiète aussi d'une centralisation européenne de la défense, à court terme, alors que certains pays de l'Union seraient trop en retard pour compter uniquement sur une agence communautaire.
Les entreprises ne doivent pas répliquer elles-mêmes face aux attaques informatiques, selon l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Dans un discours aux Assises de la sécurité de Monaco, son directeur Guillaume Poupard a insisté sur son aversion à un armement du secteur privé, porte ouverte à toutes les dérives selon lui.
« Je suis très inquiet des propositions faites par certains d'autoriser le « hack back », c'est-à-dire reconnaitre la faillite des États à protéger leurs entreprises et citoyens, et autoriser les entreprises à s'armer et à répondre aux attaques. Je suis parfaitement opposé et effrayé par ce genre d'idée » a-t-il déclaré.
Plus globalement, « nous sommes très inquiets de voir la pente naturelle des choses, qui nous emmène vers un espace numérique devenant de plus en plus un espace de conflit » ajoute le numéro un de l'ANSSI. Ce, alors que la Commission européenne pense centraliser une large part de la cybersécurité au niveau communautaire, un projet auquel l'agence française s'oppose, notamment en matière de certification.
L'armement des entreprises ? « Une abomination »
En soi, l'alerte de l'ANSSI sur les contre-attaques informatiques par les entreprises n'est pas nouvelle. Lors d'une conférence organisée en avril à l'Unesco, son directeur affirmait déjà que « les États doivent impérativement garder le monopole de la violence légitime dans le cyberespace, leur responsabilité unique ».
Garantir une paix dans le numérique deviendrait très difficile si chaque entreprise a les capacités d'attaquer à vue ceux qu'ils voient comme des agresseurs. D'autant qu'attribuer une attaque est encore très difficile aujourd'hui, les risques d'erreurs étant importants, comme l'ont encore montré récemment deux chercheurs de Kaspersky. « Répliquer » peut donc vouloir dire se créer un nouvel ennemi.
Dans un entretien à Libération, le numéro un de l'ANSSI craignait d'entrer dans « un Far West totalement aveugle ».
Le discours sur l'armement des entreprises à 21 minutes
Pour lui, le « hack back » mènerait « à des délires qui nous coûteront extrêmement cher si on n'y met pas un point d'arrêt immédiatement, avant même que cela se développe ». Le sujet est aujourd'hui sensible pour le secteur privé, qui s'étend peu dessus. Le service de messagerie ProtonMail, qui annonçait avoir attaqué un site de phishing en août, a rapidement retiré son message devant l'interrogation d'internautes.
Cette semaine à Monaco, les mots sont devenus encore plus durs, de la part de l'ANSSI. « Autoriser le « hack back », donc des entités privées à contre-attaquer, c'est une abomination. Si on autorise ça, on va vivre des moments extrêmement difficiles », là aussi en raison de la complexité d'attribuer les agressions.
Impliquer l'industrie contre le « hack back »
Devant un parterre d'industriels de la cybersécurité, Guillaume Poupard a demandé des efforts pour garantir les conditions d'une paix numérique. Au-delà du simple fait de transposer le droit de la guerre sur ce nouveau terrain, il estime que le travail reste encore à mener pour le développement de la (sacro-sainte) confiance et de l'économie.
« C'est une bouteille à la mer, à la Méditerranée, que je lance ici. Vous avez un rôle un jouer dans ces domaines, qui sont compliqués. Mais si les spécialistes ne sont pas les premiers à porter une conviction, un message, ce sera extrêmement compliqué. Il y a un vrai sujet à traiter » a appuyé le responsable de l'agence.
Rappelons que les services de l'État peuvent déjà répliquer au nom de certaines entreprises. C'est l'objet de l'article 21 de la Loi de programmation militaire (LPM) de 2013, qui autorise « répondre à une attaque informatique qui vise les systèmes d'information affectant le potentiel de guerre ou économique ».
La France affiche ses capacités offensives, quand l'armée recrute des « combattants numériques » à tours de bras pour ses besoins de cyberdéfense, DGSE incluse. Les éventuelles répliques de l'État à des attaques de sociétés bleu blanc rouge n'ont pas encore émergé, les pouvoirs publics préférant communiquer sur la défense.
Axe franco-allemand en Europe
L'ANSSI exploite sa légitimité en matière de défense informatique, en tant qu'entité dédiée. La séparation de l'attaque (au ministère des Armées) et de la défense (au sein des Armées mais surtout à l'agence) fait la fierté de la France, face au « mélange des genres » pratiqué par la NSA ou le GCHQ, coincés entre leurs besoins offensifs et défensifs.
C'est surtout le modèle défendu en Europe, où la France vante un alignement franco-allemand sur la cybersécurité, entre ANSSI et BSI. Les deux pays seraient les plus avancés sur la question. Comme nous l'expliquions récemment, le nouveau plan de la Commission européenne pour centraliser de nombreuses tâches de défense via l'agence de cybersécurité communautaire (Enisa) alarme Paris.
Selon l'agence hexagonale, l'Enisa n'est pas prête. « Si elle était amenée à reprendre ce rôle, qui plus est à l'échelle européenne, il faudrait des moyens sans commune mesure avec ceux qu'ils ont aujourd'hui » estime Poupard, avec 120 employés contre 540 pour la seule institution française.
Il serait irréaliste que l'agence européenne devienne une équipe de « pompiers volants » envoyée partout en Europe. « Sans les contacts préalables et l'entrainement, [une telle équipe] va regarder les trains passer, les victimes mourir. Je ne vois pas comment cela peut fonctionner à court terme. »
Il fustige la tentation qu'auraient certains États, peu avancés sur la cyberdéfense, de se reposer sur une seule agence européenne. Pour lui, l'ensemble des pays de l'Union doivent assurer leur propre défense informatique, avec justement l'aide de l'Enisa.
Sa crainte est que des pays européens bien protégés soient attaqués via des voisins bien moins prêts. Il insiste encore sur l'échange d'informations, qui doit être renforcé au niveau de l'équipe de réponse à incident de l'ANSSI (le CERT-FR).
Bientôt un « Visa de sécurité ANSSI »
L'autre alarme face à la Commission européenne est la certification des produits de sécurité, une question ô combien sensible pour la France. En parallèle de l'Allemagne, le pays mène des programmes de certification depuis deux décennies, et ne compte pas lâcher à l'Enisa une telle responsabilité, souveraineté oblige.
Pour certains professionnels rencontrés lors des Assises de la sécurité de Monaco, des labels européens auraient pourtant un avantage certain, évitant d'être passé au crible par chacun des États membres. Sur l'événement, nombre de stands et d'interlocuteurs évoquent une (future) certification par l'agence française, Graal pour entrer dans les recoins sensibles de réseaux de grands groupes et de l'État.
Le directeur de l'ANSSI s'est réaffirmé en faveur de l'auto-certification des objets connectés, pourtant laissée de côté par la Commission européenne dans son plan officiel. La bataille sur le sujet ne semble donc pas encore terminée.
Enfin, l'agence a annoncé un futur « Visa de sécurité ANSSI », pour simplifier la présentation de ses certifications et qualifications de produits de sécurité. L'entité n'avait pas de détails à fournir, ceux-ci devant arriver début 2018. Un diagramme devrait être fourni pour diriger entreprises et administrations vers le niveau de contrôle qui convient.
À noter :
Cet article a été rédigé dans le cadre de notre participation aux Assises de la sécurité de Monaco, du 11 au 13 octobre, où nous avons été conviés par les organisateurs. Ces derniers ont pris en charge nos billets d'avion, notre hébergement et la restauration sur place. Conformément à nos engagements déontologiques, cela s'est fait sans aucune obligation éditoriale de notre part, et sans ingérence de la part des organisateurs.
J’aime tellement entendre Guillaume Poupard. J’ai l’impression que c’est le seul de tous les responsables et politiques divers et variés de l’administration français qui comprend un peu qqch au net et aux problématiques du high-tech.
Il est Polytechnicien, ingénieur de l’armement, et surtout il a une thèse de doctorat en cryptographie.
donc effectivement je doute qu’il y ait beaucoup d’autres personnes dans l’administration qui sachent mieux que lui de quoi on parle (à part à l’ANSSI bien évidemment, et dans les “services”). " />
Ils ont raison sur l’inutilité actuelle de l’ENISA mais leur posture de fonctionnaires corporatistes est ridicule, s’imaginent-ils un instant avoir autant d’ANSSI que d’Etats membres ? L’avance franco-allemande, elle existait également dans le spatial et cela n’a pas empêché la création de l’Agence Spatiale Européenne qui est une réussite.
Malheureusement Poupard se bat dans le vide. C’est la tendance générale de vouloir suivre la loi du Talion. Valls n’a-t-il pas déclaré en tant que PM qu’“on était en guerre” ? Nos attaques font suite à des attaques, qui elles-même sont des répliques à nos agissements envers d’autres pays pendant des années. Bref on ne s’en sort pas. Et cette logique guerrière va s’appliquer au numérique aussi, comme pour tout on suit les Etats-Unis avec quelques années de retard. On veut se faire justice soi-même, que ce soit au niveau individuel, de l’entreprise, ou des états. Nous sommes les gentils, les autres sont les méchants, nous avons donc la légitimité de répliquer. Il ne manque plus que mettre Dieu dans les justifications, et l’affaire sera pliée.
Il est Polytechnicien, ingénieur de l’armement, et surtout il a une thèse de doctorat en cryptographie.
donc effectivement je doute qu’il y ait beaucoup d’autres personnes dans l’administration qui sachent mieux que lui de quoi on parle (à part à l’ANSSI bien évidemment, et dans les “services”). " />
Ouais mais avoir du bon sens, des compétences adaptées à l’époque et l’exprimer en public, ça fait beaucoup pour un fonctionnaire.
Il va pas durer longtemps… " />
BobQuiTue a écrit :
Personnellement “le monopole de la violence légitime” ça me fait un peu froid dans le dos…
Ben ouais mais c’est en partie la dessus qu’est basé un État de droit.
C’est ce principe de base qui assure à la police, l’armée et la Justice sa légitimité.
Dans le Savant et le Politique, Max Weber forge le concept politique de violence légitime. Weber définit en effet l’Etat comme l’institution détenant le monopole de l’usage légitime de la force physique :
« un Etat est une communauté humaine qui revendique le monopole de l’usage légitime de la force physique sur un territoire donné » (citations de Max Weber)
Le terme important de cette définition est « légitime ». Car si des personnes ou des groupes peuvent faire usage de la violence, elle n’est en aucun cas légitime. Seul l’Etat est habilité à utiliser la violence sans qu’on puisse lui en dénier la légitimité. Cela fait partie de ses prérogatives légales.Même quand l’Etat autorise les individus à user de la violence (cas de la légitime défense), les individus tiennent cette légitimité de l’Etat, sous forme de délégation.
L’Etat dans la philosophie contractualiste
Cette conception de l’Etat chez Weber prend sa source chez les philosophes contractualistes, notamment Hobbes, chez lequel l’Etat (le Léviathan) naît lorsque les individus acceptent de confier leur volonté à une force supérieure en échange de la sécurité. Or, la sécurité suppose l’usage possible de la violence contre ceux qui la mettrait en danger.
En aval, cette théorie traduit la définition régalienne de l’Etat, laquelle soutient que l’Etat doit se cantonner à des fonctions de sécurité et de sûreté des membres de la société. Ainsi, toute violence autre que celle de l’Etat serait nécessairement illégitime.
Comme dit dans les autres commentaires, c’est déjà le cas au niveau physique.
Qui est la seule entité qui peut légalement te menotter, t’enfermer, etc ? L’État, qui dispose de ce monopole. Évidemment, pour que ce ne soit pas une dictature, l’État doit également être soumis à la loi ce qui te permet de défendre tes libertés dans les tribunaux.
Sans ce monopole de la violence légale, des milices pourraient décider exercer eux-même leur loi si elles estimaient ne pas être bien protégés par l’État, et la justice ne pourrait pas être respectée : c’est exactement ce qui se passait dans le Far West.
C’est ce que craint l’ANSSI, que des milices privées numériques se forment et finissent par s’affronter, parfois par erreur, et faisant très certainement nombre de victimes collatérales.
A le lire, on dirait que l’ANSSI a peur de l’ENISA et essaie de se mettre au dessus par tous les moyens alors qu’absolument rien n’empêche une collaboration fructueuse.
L’avenir de la défense, qu’elle soit numérique ou militaire se trouve au niveau régional avec une politique à l’échelle de l’Europe.
Il est vraiment dommage de voir que les institutions “du futur” ont les mêmes défauts et le même égo que leurs équivalents chez les dinosaures. Ou alors, le fait de mettre en avant son institution avant le but pour lequel celle-ci a été créée est simplement naturel.
On a une tendance visant à réguler le cyberespace dans certains domaines et pour certains acteurs: responsabilisation des intermédiaires, criminalisation de certains comportements, obligations positives de certains fournisseurs d'effacer ou de bloquer les accès. Résultat: moins de liberté
On a une autre tendance, à mesure que les Etat disposent des capacité d'action à des fins politiques, économiques ou militaires dans le cyberespace, visant à justifier et légitimer toute action dans ce même espace. Résultat: plus de liberté
Pourtant, la question ici n'est pas nouvelle: On a déjà réfléchi à ce que pouvait faire ou ne pas faire celui qui était l'objet d'une atteinte à ses droits fondamentaux: C'est l'état de nécessité ou la légitime défense.
Ces principes permettent aux citoyens d'exercer une certaine violence sur d'autres afin de préserver leurs droits contre une éventuelle atteinte. Si la violence exercée est trop importante ou mal proportionnée, alors la justice va punir le citoyen.
Rien n'empêche de transposer ces principes à ce cas particulier. Si les Etats doivent garder leur monopole, ils doivent également prévoir dans quelle mesure ils le délèguent, et sanctionner ceux qui abusent de cette délégation comme ceux qui usent de violence et n'en bénéficie pas (en attaquant par exemple).
C'est un peu simpliste de résumer la question à "pas d'action pour les entreprises", et j'ai un peu le sentiment qu'il prêche pour sa paroisse (peut-être par peur de la concurrence de l'ENISA à long terme?).
S'il s'agit de défense face à d'autres sujets de droit international public (d'autres Etats), alors en effet, la compétence de se défendre est plus du ressort de l'Etat attaqué. Mais à ce niveau, il n'y a pas que de la cyberguerre mais aussi des options diplomatiques ou autres.
Chapeau bas à l’équipe de Nextinpact de mentionner en bas de l’article que les frais ont été payés et dans quelles conditions. C’est du journalisme de qualité que vous nous offrez.:)
L’avenir de la défense, qu’elle soit numérique ou militaire se trouve au niveau régional avec une politique à l’échelle de l’Europe.
Mais cela pose des problèmes tel que la doctrine d’emploi ou le contrôle politique.
J’avais lu un texte ou un soldat allemand expliquait : en Allemagne le parlement décide des actions militaires puis met envoie des parlementaires vérifier que chaque soldat a une connexion internet pour que chaque soldat puisse appeler sa maman avant d’aller se coucher.
en France l’armée agit et botte le cul des méchants.
Si a la place de l’Armée Française on avait une Armée Européenne bâtie sur le modèle allemand, c’est certain que Kadhafi n’aurait pas été assassiné pour effacer les preuves de financement de campagne d’un certain chef d’état…. Mais elle n’aurait pas non plus été capable de réagir a l’incapacité de l’Etat Malien de se défendre contre une attaque en lui venant en aide dans les temps…
Et les exemples de problème en Allemagne (ou le budget est pourtant énorme et le PIB plus encore) ou dans les cahiers des charges allemand (ex. les Tigre allemand incapable de servir a autre chose que de l’antichar mais envoyé inutilement en Afghanistan pendant que les Français en Tigre font de l’appui feu, les Tigre allemand qui se désassemblent en vol pendant que les Tigre français combattent au Sahel, etc…) font qu’une armée Européene, hautement désirable sur le papier, est dans les fait hautement effrayante au vue de la main mise allemande sur l’Europe.
Chapeau bas à l’équipe de Nextinpact de mentionner en bas de l’article que les frais ont été payés et dans quelles conditions. C’est du journalisme de qualité que vous nous offrez.:)
Je n’ai jamais dit que c’était facile, mais ces questions sont “triviales”
Mais il en va aussi de la crédibilité de l’UE au niveau international. Il n’y a pas de consensus et pourtant les défis sont de plus en plus souvent régionaux (le Mali est un bon exemple: la menace dépasse de loin les frontières du pays). On retrouve une Europe schizophrène qui d’un côté est trop interventioniste, et de l’autre pas assez active. Tu décris toi même le résultat: l’UE pourrait être une force extraordinaire, mais ses troupes ne sont pas coordonnées.
Les Etats ont la capacité d’agir unilatéralement, mais les conséquences de leurs actes peuvent impacter tous les membres. C’est l’Italie qui doit gérer en priorité la crise migratoire, alors que d’autres membres de l’UE agissent en Syrie par exemple.
Pour cette raison, l’avenir de la défense se trouve au niveau de l’UE. Parce que la force armée n’est qu’un outil dans la trousse politique et diplomatique des sujets de droit international public, cet outil devra tôt ou tard servir l’UE et plus ses Etats Membres.
A le lire, on dirait que l’ANSSI a peur de l’ENISA et essaie de se mettre au dessus par tous les moyens alors qu’absolument rien n’empêche une collaboration fructueuse.
L’avenir de la défense, qu’elle soit numérique ou militaire se trouve au niveau régional avec une politique à l’échelle de l’Europe.
Il est vraiment dommage de voir que les institutions “du futur” ont les mêmes défauts et le même égo que leurs équivalents chez les dinosaures. Ou alors, le fait de mettre en avant son institution avant le but pour lequel celle-ci a été créée est simplement naturel.
ce que je comprend de ce que dit Poupard:
L’ENISA n’a pas les moyens aujourd’hui d’atteindre les mêmes objectifs que l’ANSSI ou le BSI, et donc il ne faudrait pas mettre la charrue avant les boeufs.
L’ANSSI a déjà suffisamment de mal, avec tous ses agents, à remplir correctement sa mission en France, alors une agence européenne avec 4 fois moins d’agents et une population à couvrir 8 fois plus importante, c’est juste foutre en l’air tout le travail effectué jusqu’à présent. Et on ne parle là que du quantitatif. Il faut encore définir un objectif, un modèle de menace, des procotoles communs au niveau de l’union.
Et je pense qu’il a raison: aujourd’hui on est 28 en europe (un bien ou un mal c’est un autre débat), et donc définir des politiques communes, particulièrement sur des sujets sensibles comme la défense, est devenu impossible.
Le but est donc de créer des partenariats multilatéraux (ça commence à sonner fonctionnaire européen mon truc " />), afin d’arriver au niveau de l’Europe avec un modèle de fonctionnement éprouvé.
Si on arrive à faire fonctionner ensemble BSI et ANSSI, qui sont les deux plus grosses agences, et aussi les plus avancées, on pourra plus facilement étendre le modèle de fonctionnement obtenu ailleurs en UE.
Et il faudrait que l’état et les agences fassent leur taff pour toutes les “petites agressions” et pas seulement pour “les gros hacks qui ont une répercussion économique/pénale importante”.
Le problème c’est que l’état français (comme d’autres) préfèrent taxer et attaquer ses citoyens plutôt que des les protéger contres les “agressions” quotidiennes (irl : incivilitées , comportement dangereux, .., online : pishing, sms & appels surtaxés (super simple à résoudre, mais personne n’a souhaité le faire, certainement pas la dgcrf) , etc…)
Par contre pour imposer son couroux sur bluetoof etc… là il y a du monde.
Et pour limiter le travail des experts en sécurité (si on veut uniquement se défendre sans devoir répondre, il faut pouvoir bien se défendre et etre sur de sa défense), la à nouveau, c’est contre les experts de sécurité que sont faites les lois (insécurité juridique, aucune loi protégeant réellement les lanceurs d’alertes ou la décompilation/reverse engineering,…)
Bref, l’anssi se plaint d’un état de fait alors qu’ils (l’état) ont tout fait pour y arriver…
Savoir que certaines entreprises seraient capables d’assurer leur propre securite sans dependre de l’Etat (qui est reconnu pour son efficacite en la matiere, c’est evident), ca doit empecher Guillaume de dormir…
La verite c’est que l’Etat n’aime pas la concurrence et prefere avoir a garder des petits moutons sans defense, totalement dependants de lui.
De plus, ce n’est pas l’armement (defensif) des entreprises qu’il faut bannir, mais bien celui (offensif) des Etats.
Rappelons que les services de renseignements sont les premiers a garder les failles de securite secretes afin de les exploiter a leur guise et en totale impunite.
Cf. WannaCry, base sur le code de la NSA, qui a paralyse hopitaux, aeroports et des milliers d’entreprises a travers le monde. Quelle consequences en matiere de vies humaines et financiaires ?
Et ce n’est meme pas la NSA qui est venue reparer leurs propres stupidites, mais bien un chercheur du prive. Meme pas le debut d’une excuse de leur part.. C’est lamentable!
Et souvenons-nous de la CIA qui a perdu, pendant des mois, le control de leur arsenal offensif, et n’a pas pense que rendre l’information publique, ou au moins devoiler les failles de securite, pourraient permettre aux entreprises et particuliers de prendre les mesures necessaires pour se proteger…
L’Etat, comme toujours, prefere cacher sa responsabilite, quitte a sacrifier des vies et ressources financiaires au passage. Le tout sans aucune consequence.
Alors qu’une entreprise privee, si elle foire, elle s’attire les foudres de ses clients et victimes impactees et risque son avenir.
Enfin, ce ne sont pas les mafias criminelles qui menacent de s’attaquer au infrastructures vitales de certains pays tous les 4 matins, mais bien les Etat eux-memes.
L’idee de tuer quelques millions de personnes au passage, ne semble visiblement pas trop les gener…
Donc non. Pas de monopole de la violence pour l’Etat Guillaume. On sait a quoi cela mene IRL, pas besoin de ca dans le cyber-espace.
Et tu préférerais que des entreprises dont le seul et unique but est le profit, disposent légalement d’outils et du droit d’utiliser ces outils pour attaquer ceux qu’elles estiment nuire à leurs intérêts ?
Mais le fait que le but d’une entreprise est de realiser un profit, est une evidence millenaire pour le reste de la planete…
De plus j’ai bien parler d’outils defensifs pour les entreprises. Outils leur permettant de se defendre et/ou de repliquer contre leur agresseur et personne d’autre.
Attaquer d’autres entites pour “defendre leurs interets” (eg. initier une attaque contre l’entreprise X concurrente) est criminel.
Tu noteras que c’est le language des Etats qui a longueur de journee parle de “proteger les interets de la Nation” et utilisent cette foutaise comme justification pour larguer des bombes ici et la.
Mais le fait que le but d’une entreprise est de realiser un profit, est une evidence millenaire pour le reste de la planete…
De plus j’ai bien parler d’outils defensifs pour les entreprises. Outils leur permettant de se defendre et/ou de repliquer contre leur agresseur et personne d’autre.
Attaquer d’autres entites pour “defendre leurs interets” (eg. initier une attaque contre l’entreprise X concurrente) est criminel.
Tu noteras que c’est le language des Etats qui a longueur de journee parle de “proteger les interets de la Nation” et utilisent cette foutaise comme justification pour larguer des bombes ici et la.
J’ai parlé de profit en opposition au but d’un Etat qui est (doit) de s’assurer de la protection des citoyens, et je trouve quand même que les Etats sont plus surveillés que les multinationales.
Et je n’ai rien contre le profit, mais j’ai un gros problème avec la mentalité qui consiste à ne voir que le profit et ne pas s’intéresser du tout au reste (l’impact humain, environnemental, sur la santé etc.)
De plus, à partir de quel moment une entreprise peut se considérer comme la cible d’une attaque ? Du spam ? Des tentatives de phishing ? Une révélation d’un lanceur d’alerte ?
Et puis,si tu répliques face à une attaque, ce n’est plus uniquement des outils défensifs, mais bel et bien des outils ayant une capacités offensives.
Limiter au maximum la légalité de ce genres d’outils n’empêchera pas ceux qui sont mal intentionnés d’y avoir accès, mais cela diminuera forcément les dommages collatéraux dû à des utilisations hasardeuses d’entités se croyant dans leur droit. Et cela n’empêche en rien de s’équiper d’outil purement défensifs.
Donc je maintient que permettre à des entités privés de se doter légalement d’outils pouvant être utilisés pour une attaque (et encore une fois une contre-attaque, ça reste une attaque) n’est pas du tout une bonne chose.
L’ANSSI s’érige contre le cyberarmement des entreprises et une défense purement européenne
Commentaires (27)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 13/10/2017 à 07h59
J’aime tellement entendre Guillaume Poupard. J’ai l’impression que c’est le seul de tous les responsables et politiques divers et variés de l’administration français qui comprend un peu qqch au net et aux problématiques du high-tech.
Ce type, c’est la voix de la raison.
Le 13/10/2017 à 08h14
Il est Polytechnicien, ingénieur de l’armement, et surtout il a une thèse de doctorat en cryptographie.
donc effectivement je doute qu’il y ait beaucoup d’autres personnes dans l’administration qui sachent mieux que lui de quoi on parle (à part à l’ANSSI bien évidemment, et dans les “services”). " />
Le 13/10/2017 à 08h21
Ils ont raison sur l’inutilité actuelle de l’ENISA mais leur posture de fonctionnaires corporatistes est ridicule, s’imaginent-ils un instant avoir autant d’ANSSI que d’Etats membres ? L’avance franco-allemande, elle existait également dans le spatial et cela n’a pas empêché la création de l’Agence Spatiale Européenne qui est une réussite.
Le 13/10/2017 à 09h09
Personnellement “le monopole de la violence légitime” ça me fait un peu froid dans le dos…
Le 13/10/2017 à 09h15
Malheureusement Poupard se bat dans le vide. C’est la tendance générale de vouloir suivre la loi du Talion. Valls n’a-t-il pas déclaré en tant que PM qu’“on était en guerre” ? Nos attaques font suite à des attaques, qui elles-même sont des répliques à nos agissements envers d’autres pays pendant des années. Bref on ne s’en sort pas. Et cette logique guerrière va s’appliquer au numérique aussi, comme pour tout on suit les Etats-Unis avec quelques années de retard. On veut se faire justice soi-même, que ce soit au niveau individuel, de l’entreprise, ou des états. Nous sommes les gentils, les autres sont les méchants, nous avons donc la légitimité de répliquer. Il ne manque plus que mettre Dieu dans les justifications, et l’affaire sera pliée.
Le 13/10/2017 à 09h17
Le 13/10/2017 à 10h13
Le 13/10/2017 à 11h21
Le 13/10/2017 à 12h18
Le 13/10/2017 à 12h29
Comme dit dans les autres commentaires, c’est déjà le cas au niveau physique.
Qui est la seule entité qui peut légalement te menotter, t’enfermer, etc ? L’État, qui dispose de ce monopole. Évidemment, pour que ce ne soit pas une dictature, l’État doit également être soumis à la loi ce qui te permet de défendre tes libertés dans les tribunaux.
Sans ce monopole de la violence légale, des milices pourraient décider exercer eux-même leur loi si elles estimaient ne pas être bien protégés par l’État, et la justice ne pourrait pas être respectée : c’est exactement ce qui se passait dans le Far West.
C’est ce que craint l’ANSSI, que des milices privées numériques se forment et finissent par s’affronter, parfois par erreur, et faisant très certainement nombre de victimes collatérales.
Le 13/10/2017 à 12h38
A le lire, on dirait que l’ANSSI a peur de l’ENISA et essaie de se mettre au dessus par tous les moyens alors qu’absolument rien n’empêche une collaboration fructueuse.
L’avenir de la défense, qu’elle soit numérique ou militaire se trouve au niveau régional avec une politique à l’échelle de l’Europe.
Il est vraiment dommage de voir que les institutions “du futur” ont les mêmes défauts et le même égo que leurs équivalents chez les dinosaures. Ou alors, le fait de mettre en avant son institution avant le but pour lequel celle-ci a été créée est simplement naturel.
Le 13/10/2017 à 13h01
On est face à un paradoxe:
Le 13/10/2017 à 13h46
Chapeau bas à l’équipe de Nextinpact de mentionner en bas de l’article que les frais ont été payés et dans quelles conditions. C’est du journalisme de qualité que vous nous offrez.:)
Le 13/10/2017 à 13h50
Le 13/10/2017 à 13h50
Le 13/10/2017 à 14h10
Je n’ai jamais dit que c’était facile, mais ces questions sont “triviales”
Mais il en va aussi de la crédibilité de l’UE au niveau international. Il n’y a pas de consensus et pourtant les défis sont de plus en plus souvent régionaux (le Mali est un bon exemple: la menace dépasse de loin les frontières du pays). On retrouve une Europe schizophrène qui d’un côté est trop interventioniste, et de l’autre pas assez active. Tu décris toi même le résultat: l’UE pourrait être une force extraordinaire, mais ses troupes ne sont pas coordonnées.
Les Etats ont la capacité d’agir unilatéralement, mais les conséquences de leurs actes peuvent impacter tous les membres. C’est l’Italie qui doit gérer en priorité la crise migratoire, alors que d’autres membres de l’UE agissent en Syrie par exemple.
Pour cette raison, l’avenir de la défense se trouve au niveau de l’UE. Parce que la force armée n’est qu’un outil dans la trousse politique et diplomatique des sujets de droit international public, cet outil devra tôt ou tard servir l’UE et plus ses Etats Membres.
Le 13/10/2017 à 14h15
Le 13/10/2017 à 14h17
l’armée n’est effectivement qu’un outil de politique extérieure.
il faudrait donc avoir une politique extérieure commune avant de créer une armée commune.
Le 13/10/2017 à 15h39
Le 13/10/2017 à 15h48
“Le discours sur l’armement des entreprises à 21 minutes”
“Mince ! Merci de mettre à jour votre navigateur ou d’en essayer un autre.”
Il faut quoi ? Si c’est Flash, je suis désolé mais ça sera sans moi.
C’est l’occasion de râler une fois de plus contre l’éditeur de messages.
Si je mets des retours à la ligne c’est pas pour qu’on me les enlève sans mon accord. " />
Le 13/10/2017 à 16h23
Le 13/10/2017 à 20h12
J’ajouterais que les entreprises en capacité de “Hack Back” risquent le plus souvent d’être transnationales.
Si elles doivent se tourner vers une agence comme l’ANSSI, il vaut mieux que cette agence couvre les territoires (physiques) des entreprises.
Le 14/10/2017 à 09h52
Et il faudrait que l’état et les agences fassent leur taff pour toutes les “petites agressions” et pas seulement pour “les gros hacks qui ont une répercussion économique/pénale importante”.
Le problème c’est que l’état français (comme d’autres) préfèrent taxer et attaquer ses citoyens plutôt que des les protéger contres les “agressions” quotidiennes (irl : incivilitées , comportement dangereux, .., online : pishing, sms & appels surtaxés (super simple à résoudre, mais personne n’a souhaité le faire, certainement pas la dgcrf) , etc…)
Par contre pour imposer son couroux sur bluetoof etc… là il y a du monde.
Et pour limiter le travail des experts en sécurité (si on veut uniquement se défendre sans devoir répondre, il faut pouvoir bien se défendre et etre sur de sa défense), la à nouveau, c’est contre les experts de sécurité que sont faites les lois (insécurité juridique, aucune loi protégeant réellement les lanceurs d’alertes ou la décompilation/reverse engineering,…)
Bref, l’anssi se plaint d’un état de fait alors qu’ils (l’état) ont tout fait pour y arriver…
Le 16/10/2017 à 01h47
Savoir que certaines entreprises seraient capables d’assurer leur propre securite sans dependre de l’Etat (qui est reconnu pour son efficacite en la matiere, c’est evident), ca doit empecher Guillaume de dormir…
La verite c’est que l’Etat n’aime pas la concurrence et prefere avoir a garder des petits moutons sans defense, totalement dependants de lui.
De plus, ce n’est pas l’armement (defensif) des entreprises qu’il faut bannir, mais bien celui (offensif) des Etats.
Rappelons que les services de renseignements sont les premiers a garder les failles de securite secretes afin de les exploiter a leur guise et en totale impunite.
Cf. WannaCry, base sur le code de la NSA, qui a paralyse hopitaux, aeroports et des milliers d’entreprises a travers le monde. Quelle consequences en matiere de vies humaines et financiaires ?
Et ce n’est meme pas la NSA qui est venue reparer leurs propres stupidites, mais bien un chercheur du prive. Meme pas le debut d’une excuse de leur part.. C’est lamentable!
Et souvenons-nous de la CIA qui a perdu, pendant des mois, le control de leur arsenal offensif, et n’a pas pense que rendre l’information publique, ou au moins devoiler les failles de securite, pourraient permettre aux entreprises et particuliers de prendre les mesures necessaires pour se proteger…
L’Etat, comme toujours, prefere cacher sa responsabilite, quitte a sacrifier des vies et ressources financiaires au passage. Le tout sans aucune consequence.
Alors qu’une entreprise privee, si elle foire, elle s’attire les foudres de ses clients et victimes impactees et risque son avenir.
Enfin, ce ne sont pas les mafias criminelles qui menacent de s’attaquer au infrastructures vitales de certains pays tous les 4 matins, mais bien les Etat eux-memes.
L’idee de tuer quelques millions de personnes au passage, ne semble visiblement pas trop les gener…
Donc non. Pas de monopole de la violence pour l’Etat Guillaume. On sait a quoi cela mene IRL, pas besoin de ca dans le cyber-espace.
Le 16/10/2017 à 11h05
Le 16/10/2017 à 20h32
Je sais que le mot “profit” en France c’est caca.
Mais le fait que le but d’une entreprise est de realiser un profit, est une evidence millenaire pour le reste de la planete…
De plus j’ai bien parler d’outils defensifs pour les entreprises. Outils leur permettant de se defendre et/ou de repliquer contre leur agresseur et personne d’autre.
Attaquer d’autres entites pour “defendre leurs interets” (eg. initier une attaque contre l’entreprise X concurrente) est criminel.
Tu noteras que c’est le language des Etats qui a longueur de journee parle de “proteger les interets de la Nation” et utilisent cette foutaise comme justification pour larguer des bombes ici et la.
Le 17/10/2017 à 10h44