AIRES EN
IHEDN
RCLE CE
S PART DE
4th IHEDN Brussels Day 28 June 2012 • Breydel 2 Vers une cyberstratégie européenne ?
4e séminaire IHEDN de Bruxelles 28 juin 2012 • Breydel 2
RCLE CE
AIRES EN
S PART DE
IHEDN
Towards a European Cyberstrategy?
Sommaire 2
Discours de bienvenue Vice-amiral d'escadre Richard Laborde M. Zoran Stancˇicˇ
9
35
Le secteur industriel face aux cybermenaces : constats et réponses Steve Purser Maria José Granero Paris Alberto de Benedictis Gerald Oualid
Réponses actuelles des États membres aux cybermenaces Patrick Pailloux Sarah Lampert Martin Fleischer Jean-Luc Auboin Questions-réponses
Questions-réponses
57
Une réponse globale au niveau européen est-elle possible ? Air Commodore Pascal Roux Jakub Boratynski Giuseppe Abbamonte Heli Tiirmaa-Klaar Rear Admiral (2S) Denis Trioulaire Questions-réponses
Fonds de dotation créé en 2010, le Cercle des partenaires de l'IHEDN porte grâce au mécénat des projets innovants : questions stratégiques, fondamentaux de notre société, avenir de notre pays. La Chaire Castex de cyberstratégie a vu le jour en 2011 avec le soutien de la Fondation d'entreprise EADS. C'est ce partenariat qui nous permet aujourd'hui de publier ces actes. www.partenaires-ihedn.fr 1
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
Discours de bienvenue Vice-amiral d'escadre Richard Laborde Directeur de l’Institut des hautes études de défense nationale (IHEDN) M. le directeur général adjoint, Mesdames et Messieurs, En tant que directeur de l’IHEDN, l’Institut des hautes études de défense nationale, à Paris, j’ai le grand plaisir et l’honneur d’ouvrir ce séminaire à Bruxelles pour la 4e année consécutive, consacré à la cyberstratégie. Ce séminaire permet à l’IHEDN de contribuer au travail concernant la stratégie de défense et de sécurité menée dans la capitale européenne. Tout d’abord, j’aimerais remercier M. Zoran Stancˇicˇ, le directeur général adjoint de la Direction générale des réseaux de communication, du contenu et des technologies, sans qui rien n’aurait été possible, puisque c’est par son intermédiaire que l’Institut a coorganisé ce séminaire. J’aimerais aussi remercier les intervenants invités qui vont nous parler de la cyberstratégie européenne. Ils sont issus de sociétés comme Cassidian, Alcatel et Finmeccanica, mais aussi d’agences comme l’Agence européenne chargée de la sécurité des réseaux et de l’information (Enisa) et l’Agence nationale de la sécurité des systèmes d’information (Anssi), notre agence française – ainsi que ses homologues britannique et allemand, et, bien évidemment, l’Agence européenne de défense (AED). J’aimerais aussi remercier le secrétariat du Conseil, le Service européen pour l’action extérieure (SEAE) et l’ensemble du personnel de l’Union européenne. J’aimerais pour finir remercier chacun d’entre vous qui allez assister à ce séminaire et débattre avec les intervenants. Trois tables rondes seront organisées pendant la journée. La première traitera des cybermenaces auxquelles les industries sont confrontées. La seconde étudiera la réponse actuelle apportée par les États membres à ces cybermenaces. Enfin, la troisième et dernière se penchera plus en profondeur sur la faisabilité d’une réponse globale au niveau européen. La question au coeur de ce séminaire est donc celle-ci : « Nous dirigeons-nous vers une cyberstratégie européenne ? » En guise d’introduction, j’aimerais suggérer quelques points de réflexion. D’abord, sur le développement de plus en plus rapide de la technologie. Si vous le voulez bien, nous allons regarder un peu en arrière – en 2002. Certes, l’Internet existait déjà. Microsoft et Bill Gates régnaient presque en maîtres. Toutefois, en quelques années, nous avons assisté à une accélération de l’utilisation de l’Internet ainsi que cela a été mis en évidence tout récem-
2
4e Séminaire IHEDN de Bruxelles 28 juin 2012
ment par la multiplication des noms de domaine. De simples moteurs de recherche tels que Google sont devenus des puissances mondiales. Les réseaux sociaux, Facebook, LinkedIn et autres ont élargi la dimension des communications. Nous nous trouvons réellement dans une nouvelle société et un autre mode de production des richesses.
Une nouvelle société et un nouveau mode de production porteurs d’attaques et des menaces plus nombreuses Il y a dix ans, nous discutions des dégâts provoqués par les pirates informatiques : des individus irresponsables ou des petits groupes d’anarchistes. Le crime plus ou moins bien organisé faisait rage. Toutefois, un nouveau phénomène a récemment changé radicalement notre perception du cyberespace : l’émergence de groupes d’action politique, d’organismes paraétatiques, et d’États. Le terrorisme, l’espionnage et le sabotage prennent des formes aussi redoutables qu’insidieuses. Les instruments et les méthodes d’agression se sont diversifiés. Les virus (Stuxnet, Flame) sont devenus plus sophistiqués, révélant que nous sommes bien passés d’un simple artisanat à une réelle capacité que seuls des États organisés peuvent avoir. Certains États en font même un outil prioritaire qui fait partie de leurs capacités militaires. C’est une autre vie politique, une nouvelle relation entre la paix et la guerre qui nous attend.
D’où le besoin d’une action stratégique complète La variété et l’ampleur de ces problèmes nécessitent une approche générale qui permette d’en embrasser toutes les facettes. Voilà pourquoi il est essentiel de construire une cyberstratégie. Cette cyberstratégie doit se concentrer sur quatre domaines : la protection, l’économie, le militaire et le juridique. La dimension de protection : Il ne s’agit pas d’un problème purement technique. Les capacités sont à portée de main pourvu qu’elles puissent se développer par la mise en place des ressources nécessaires. Dans les sociétés, les responsables SSI (Sécurité des systèmes d’information) ont les capacités et, en général, font les recommandations adéquates par avance. Mais les écoutons-nous ? Le vrai problème est donc ailleurs. Le vrai problème est : à quel point les responsables, dirigeants et décideurs sont-ils conscients du problème ? La prise de conscience est en marche, mais elle prendra encore du temps. La dimension économique reste une énigme en ce que le volume de pertes pour une société doit être estimé pour établir des dommages-intérêts d’un point de vue direct, mais encore plus d’un point de vue indirect : la perte d’image se traduit immédiatement par une chute de la valeur boursière. La dimension militaire : de la même manière que le moteur à vapeur a donné naissance à la guerre de masse moderne (Industrial Warfare), les nouvelles technologies de l’information ont eu un impact
3
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
similaire. Toutes les forces armées, en temps de paix, de crise et d’opérations extérieures, doivent disposer de toute une gamme de protections contre le cyberespace et également de réponses. Et enfin, la dimension juridique : il y a urgence à définir, codifier et réguler au niveau national, européen et mondial. La diplomatie et le droit international dessinent aussi de nouveaux champs aux contours mal définis. Nous ne savons pas comment décrire une attaque sur la base des dispositions de la Charte des Nations unies. Sommes-nous en mesure de reconnaître une cyberattaque de la même manière qu’une attaque armée faisant appel au droit à la légitime défense ? Les gouvernements répondent à la fois sur le plan civil et militaire. Aux États-Unis, au Royaume-Uni et en France, et dans un grand nombre d’autres États, la protection des infrastructures vitales et de leurs opérateurs est devenue une priorité. En outre, le développement extrêmement rapide de ce domaine a conduit non seulement à s’intéresser à l’informatique dématérialisée (Cloud computing), mais aussi à en accompagner la mise en œuvre. Au niveau de la réglementation, il reste encore à trouver un équilibre entre les secteurs public et privé, entre la société civile et l’armée, entre le respect des droits fondamentaux du citoyen – sa vie privée, la liberté d’expression de ses opinions – et les mesures essentielles de protection qui permettent à chacun de nous d’utiliser toute possibilité nouvelle offerte par l’utilisation du cyberespace, où prospérité et sécurité sont inséparables. Ce séminaire, dont les actes seront publiés plus tard, va établir – du moins je l’espère – un rapport final adressé aux autorités chargées de la cybersécurité au niveau européen. Je vous souhaite une journée de travail profitable et de mener de fructueuses discussions qui permettront de faire des progrès sur cette question de grande importance pour nos pays.
M. Zoran Stancˇicˇ Directeur général adjoint de la direction générale des réseaux de communication, du contenu et des technologies de la Commission européenne (DG Connect) Amiral, Mesdames et Messieurs, chers collègues et amis, c’est vraiment un plaisir et un honneur de vous accueillir à Bruxelles au nom de la Commission européenne. Avant de commencer mon discours de bienvenue, je voudrais vous donner quelques explications sur la raison de notre présence ici et sur la responsabilité de la direction générale chargée des réseaux de communication, du contenu et des technologies – DG Connect.
4
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Tout d’abord, la DG Connect est responsable de trois points distincts : – concevoir des politiques dans le domaine de la régulation du marché des télécommunications ; – coordonner la conception de politiques dans le contexte plus large des défis de la Stratégie numérique auxquels nous devons faire face ; – et dernier point, le financement d’un certain nombre d’activités de Recherche et Développement (R&D), dont celles sur lesquelles nous mettons l’accent ici, à savoir, la sécurité et la confiance dans le domaine de l’Internet. Pour votre information, au cours des cinq dernières années et demie, nous avons investi plus de 340 millions d’euros uniquement dans la recherche sur la cyberconfiance et la cybersécurité. Pourquoi sommes-nous ici aujourd’hui ? Je crois qu’il est important de se rendre compte que nous sommes aujourd’hui accueillis par la direction générale "Entreprises et industrie" de la Commission européenne, chargée au sein de la Commission de la mise en œuvre des politiques et recherches dans le vaste domaine de la sécurité. Une partie très importante de son portefeuille politique est de contribuer à la définition des politiques européennes qui concernent l’industrie au sens large. Il est très important de se rappeler que tout ce que nous faisons dans ce domaine sera pertinent pour nos citoyens. Mais nous ne devrions pas oublier que nous aidons aussi notre industrie à être compétitive dans ce domaine sur le marché mondial. J’en arrive ainsi à mon introduction. Ce que j’aimerais faire pendant le laps de temps qui m’est accordé est d’examiner de plus près la Stratégie numérique pour l’Europe et la politique générale qui a modelé nos actions ces deux dernières années et demie. Stratégie et politique qui essayent de répondre aux défis économiques et sociaux auxquels nous sommes confrontés en Europe. Comme vous le savez, nous avons aujourd’hui de nombreux défis à relever. Un élément très important pour relever ces défis est ce qu’on appelle le "marché unique numérique" qui, je crois, sera l’objet de discussions plus tard dans la journée, dans le cadre du Conseil européen, entre chefs de gouvernement et chefs d’État. Ce n’est pas un de ces mots à la mode, mais un élément très important des politiques européennes qui, je l’espère, va nous aider à sortir de la crise économique. La Stratégie numérique pour l’Europe est simplement un outil que nous utilisons pour tirer parti du potentiel qui existe dans l’économie européenne, pour élargir le marché unique et pour en faire un réel marché unique européen florissant. Qu’avons-nous fait ces deux dernières années ?
5
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
Nous avons préparé un certain nombre de propositions législatives pour les actions politiques qui essaient de déverrouiller ce marché unique numérique : l’identification et les signatures électroniques (dans le but de fournir une manière sûre de partager les signatures électroniques dans toute l’Union européenne) ; la protection des données ; les données ouvertes (comment partager les informations du secteur public dans toute l’Union européenne pour contribuer à donner un coup de fouet à l’économie) ; les nouveaux modes de résolution des conflits et la résolution en ligne des conflits dans l’Union européenne ; l’itinérance, etc. Dans notre proposition de recherche, développement et innovation Horizon 2020, nous avons aussi fait une proposition très ambitieuse en matière de technologies de l’information et de la communication (TIC) ainsi qu’en matière de recherche dans le domaine de la cybersécurité et de la cyberconfiance. En outre, à travers le Mécanisme pour l’interconnexion en Europe (MIE), qui a été lui aussi proposé à la fin de l’année dernière, les investissements prioritaires de l’Union en matière d’infrastructures, à savoir les transports, l’énergie et les télécommunications, seront rassemblés dans un même cadre. Horizon 2020 et les propositions législatives du MIE font actuellement tous deux l’objet de discussions au Parlement et au Conseil européen. La semaine dernière, nous avons tenu l’assemblée de la Stratégie numérique, ici à Bruxelles, qui a réuni près de 1 200 personnes. De nombreuses questions ont été traitées, comme la sécurité des procédures ou la recherche et l’intégration de l’entreprenariat dans le monde numérique. En réunissant différentes parties prenantes de la société civile, de l’industrie, des gouvernements et des États membres de l’Union européenne, nous pouvons relever ensemble ces défis. Un élément très important de la Stratégie numérique est la sécurité de l’Internet, qui est l’une des principales priorités de la Commission européenne aujourd’hui. Pourquoi est-ce important ? Je vais replacer cette question dans le contexte du marché unique européen. Selon une étude Eurobaromètre, les Européens ne font pas confiance à l’Internet. Par exemple, 42 % des utilisateurs ne font absolument pas confiance aux transactions sur Internet. En 2010, seulement 12 % des achats de marchandises et de services ont été faits en ligne dans l’Union européenne. C’est encore loin de l’objectif fixé par la Stratégie numérique selon lequel environ 20 % des achats de marchandises et de services doivent être effectués en ligne d’ici 2015. Que cela signifie-t-il pour nous, législateurs ? Il est clair que ce que nous devons faire, c’est mettre en place des dispositions et des actions politiques spécifiques qui conduisent les citoyens et les industries à faire progressivement confiance à l’Internet et au marché unique numérique. Bien entendu, il ne s’agit pas d’une mesure ponctuelle. Nous devons nous engager dans un processus et – nous l’espérons – nous allons atteindre nos objectifs.
6
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Un certain nombre d’initiatives européennes soutiennent d’ores et déjà ce type d’efforts, mais il est très important pour nous de commencer à coopérer avec tous les acteurs compétents de la cybersécurité, en mettant en commun les efforts particuliers des acteurs publics et privés, et ce avec le soutien crucial de l’Agence européenne chargée de la sécurité (Enisa). Toutefois, pour être franc, les progrès ne sont pas uniformes dans tous les États membres. En fait, nous aimerions mettre en place des actions spécifiques afin de suivre les progrès et partager les meilleures expériences de chacun des acteurs. Où en sommes-nous maintenant ? Nous avons très clairement reçu mandat de deux commissaires et de la haute représentante Ashton. Les commissaires Kroes et Malmström sont convenus, il y a quelques semaines, de présenter conjointement une stratégie européenne relative à la cybersécurité, laquelle devrait être adoptée au cours de la deuxième moitié de l’année. Il est clair que la vision de la stratégie découle du besoin d’améliorer la résistance générale des systèmes de réseau et d’information, de renforcer la lutte contre le cybercrime et de développer la politique extérieure de cybersécurité de l’Union européenne. Cette stratégie doit aussi englober des actions visant à stimuler la compétitivité de l’industrie des TIC (Technologies de l’information et de la communication) et la demande des utilisateurs afin de fournir des fonctions de sécurité dans les produits et services relevant des TIC. Je tiens aussi à préciser que l’objectif de cette stratégie n’est pas réellement de coordonner ni d’imposer des actions spécifiques aux États membres, mais plutôt de faciliter la mise en place d’actions de soutien et de coordination entre les États membres. Dans ce contexte, il sera très important de voir comment élargir le débat en cours dans l’Union européenne par le biais de discussions bilatérales avec chaque État membre ainsi qu’avec les partenaires internationaux dans des forums multilatéraux. La Commission a également l’intention de faire une proposition législative afin d’améliorer la résistance générale des réseaux et systèmes d’information à travers l’ensemble de l’Union européenne. Cette mesure législative devrait garantir un niveau commun de sécurité élevé en rendant obligatoires les capacités techniques minimales au niveau national, en établissant des mécanismes appropriés pour la coopération transfrontalière, et aussi, dernier point, en encourageant une culture de la gestion des risques dans les secteurs public et privé. Donc, Mesdames et Messieurs, j’espère que ce sera aujourd’hui l’occasion pour nous d’engager une discussion très ouverte et franche. Au nom de la Commission européenne, je veux vous assurer à
7
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
nouveau que cette discussion sera d’une grande utilité, et cela essentiellement pour deux raisons : elle va nous aider à concevoir nos futures politiques ; et, sur la base de cette discussion, nous serons en mesure d’identifier certains défis récents posés par l’innovation, ce qui nous permettra de préparer nos futurs programmes de recherche et d’innovation.
88
1 Le secteur industriel face aux cybermenaces : constats et réponses Steve Purser
Responsable du département technique, Agence européenne chargée de la sécurité des réseaux et de l’information (Enisa)
Maria José Granero Paris
Secrétaire générale, EADS Cassidian
Alberto de Benedictis
Directeur administratif, Finmeccanicai
Gerald Oualid
Chargé du développement de l'activité de securité chez Alcatel-Lucent
Modérateur : François Géré
Professeur, chaire Castex de cyberstratégie
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
François Géré Professeur, chaire Castex de cyberstratégie Mesdames, Messieurs, notre première table ronde va principalement traiter de la façon dont le monde industriel et son maillon européen de sécurité informatique, à savoir l’Agence européenne chargée de la sécurité de l’information, considèrent ce que nous appelons, pour généraliser, les "cybermenaces", selon la définition qui en a été faite précédemment par l’amiral Laborde. Il est clair que l’industrie doit actuellement relever un certain nombre de défis complexes qui nécessitent beaucoup de réflexion, d’innovation et, dans une certaine mesure, d’investissements. Steve Purser Responsable du département technique, Agence européenne chargée de la sécurité des réseaux et de l’information (Enisa) Ce que j’aimerais faire pendant le temps qui m’est imparti, c’est de vous donner un bref aperçu de la façon dont l’Enisa voit la cybersécurité ainsi que les défis majeurs qui se posent à nous, mais aussi mettre clairement en lumière la façon dont nous travaillons avec l’industrie et le secteur privé en général. L’Enisa, Agence européenne de la sécurité de l’information et des réseaux, a été créée en 2004. Il s’agit d’une agence de régulation assez jeune, forte d’environ 60 personnes. Au sein de l’agence, je suis responsable des activités opérationnelles. Je suis particulièrement ravi, pour être honnête, parce que je suis un vétéran du secteur privé. Pendant 15 ans, j’ai été chef de la sécurité de l’information dans le secteur bancaire. Donc, si je parle de quelque chose, vous pouvez être certains que j’en ai fait l’expérience par moi-même. L’agence elle-même est un centre d’expertise au service des États membres. Ce que je veux souligner tout de suite, c’est que c’est vraiment vous, les États membres et les Communautés, qui faites le travail. Nous le facilitons, et c’est un modèle très évolutif. En travaillant par votre biais et en exploitant toute l’expertise des États membres, nous obtenons un bien meilleur retour sur investissement que si nous avions essayé de faire le travail nous-mêmes. Que faisons-nous ? Pour l’essentiel, nous facilitons l’échange d’informations sur la sécurité de l’information entre les institutions du secteur public et le secteur privé. Ce faisant, nous espérons obtenir un niveau homogène d’information sur ce qui est en train de se produire dans le secteur de la sécurité de l’information et en matière d’alignement et d’harmonisation informatiques. Parlons maintenant de cybersécurité. Nous n’en entendions pas parler il y a dix ans. C’est un nouveau mot à la mode qui vient de surgir. À l’Enisa, la cybersécurité est en grande partie synonyme de sécurité de l’information à l’ancienne. Un grand nombre de choses dont nous parlons ne datent pas d’hier. Ne l’oublions pas.
10
4e Séminaire IHEDN de Bruxelles 28 juin 2012
La cybersécurité se différencie de la sécurité de l’information en ce que nous la considérons différemment. Quand nous parlons de cybersécurité, nous considérons en général les aspects mondiaux, la façon dont les choses peuvent faire effet dans un environnement mondial et donc, les avancées dans le domaine de la cybersécurité sont davantage susceptibles de se faire par coordination politique et une action coordonnée d’un bout à l’autre d’une grande zone géographique. Je fais là un rapide commentaire. Le Service européen pour l’action extérieure (SEAE) nous a appris qu’on ne peut pas mettre en place une sécurité mondiale à l’intérieur de frontières nationales. Vous ne pouvez pas non plus le faire à l’intérieur des frontières européennes, cela va de soi. Un élément important de cette approche – et cela se fait par le biais de la Commission et l’Enisa, est bien sûr de coordonner tout ce que nous faisons avec d’autres puissances mondiales pour garantir que nous sommes également alignés sur cette base. Quelles sont donc les questions ? Très brièvement, nous savons tous qu’il s’agit des personnes, des processus et de la technologie. Bien entendu, ce sont les trois mots-clés. Il y a quelques années, je pensais que les personnes étaient le maillon le plus faible. Maintenant, je pense que ce sont les processus. Mais je vais juste vous donner un aperçu des problèmes que nous rencontrons. Je suis sûr que beaucoup d’entre eux vous seront assez familiers. Dans le domaine des personnes, il est assez clair que la structure gouvernementale qui est actuellement la nôtre n’est pas vraiment adaptée à la menace mondiale en ce qui concerne la cybersécurité. Je parle ici de gouvernance internationale. Les mandats se chevauchent. Il y a un manque de clarté. Je crois qu’il y a un risque réel que les institutions se contrecarrent si nous n’adoptons pas ensemble une structure claire à l’avenir. Bien entendu, c’est très facile à dire, mais bien plus difficile à mettre en place, à mettre en pratique. De la même manière, les règles et les responsabilités doivent être bien définies, pas seulement au plan international, mais aussi aux plans national et européen. C’est quelque chose de très difficile, en particulier si nous introduisons de nouveaux concepts, tels que la cybersécurité. Enfin, en ce qui concerne les personnes, j’aimerais souligner le besoin d’alignement des différentes collectivités spécialisées. C’est extraordinaire d’être avec vous aujourd’hui, parce qu’un grand nombre d’entre vous viennent de collectivités opérationnelles différentes. Cela me donne l’occasion de donner le point de vue de l’Enisa et cela vous donne l’occasion de donner votre point de vue. Pour ma part, je pense que l’alignement des collectivités spécialisées – des comités militaires, juridiques et policiers, de marketing traditionnel et de renseignement – est encore plus difficile et exigeant que le défi posé par les frontières. Nous avons tendance à travailler de manière cloisonnée et il y a d’autres barrières à détruire. Je ne demande pas à chacun de partager ses secrets, ce ne serait pas la bonne manière de dialoguer. Mais nous pouvons certainement parler beaucoup plus que nous le faisons actuellement. Dans le domaine des processus, il n’y a pas actuellement de grande structure pour les processus transfrontaliers dans le domaine de la sécurité. Le partage de l’information est une bonne chose, mais
11
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
il pourrait, et doit, devenir bien plus efficace. La dimension collective entre ici aussi en jeu. En particulier, les mécanismes transfrontaliers en tant que réponses doivent être améliorés. Nous commençons seulement à réunir – de façon non militaire, bien sûr, je parle ici beaucoup plus de la collectivité du marché, nous commençons tout juste à définir les procédures opérationnelles standard pour ce que nous ferions en termes de cyberréponse. La technologie est le dernier élément du trio. Dans un certain sens, c’est peut-être le moins important, je pense, bien que ce soit aussi extrêmement important. Mais parfois, la technologie occupe la première place dans les conférences alors qu’elle ne le devrait peut-être pas. Dans le domaine de la technologie, nous avons certainement besoin de quelque chose de plus que l’interopérabilité. Et nous avons besoin de plus d’interopérabilité pour les logiciels de sécurité, y compris au niveau de la conception et des caractéristiques de ces logiciels. Si je devais attaquer un système d’information – et jadis je le faisais dans mon métier – la première chose que je chercherais, c’est l’interface entre différentes technologies, parce qu’elles parlent des langues différentes. Elles ont différentes idées sur le sujet dont elles parlent. Vous êtes quasiment certains de trouver des points faibles. Nous avons besoin de commencer à définir – et c’est ce que nous faisons – des normes de sécurité minimum afin de ne pas avoir de maillon faible. Cela pourrait certainement être étendu au contexte géopolitique. Nous devons nous rappeler que les bons vieux principes de base que nous avons utilisés ces dix dernières années s’appliquent toujours dans cet environnement. Nous avons toujours besoin d’une défense en profondeur. Nous avons toujours besoin de contrôles compensatoires. Nous devons toujours éviter d’avoir un maillon faible. Les bases sont toujours valides. Les principes fondamentaux s’appliquent toujours. Les mêmes méthodes et outils seront probablement utilisés, mais dans un contexte différent. Nous devons les adapter à ce contexte de sécurité mondiale, et cela demande bien sûr du travail. Mais nous n’allons pas réinventer l’eau chaude. Il y a un réel danger quand vous créez un nouveau terme comme le terme "cybersécurité" de se précipiter à produire des objets de cybersécurité. Il est très important de mettre les choses en perspective et de réfléchir : tout ceci n’est qu’une nouvelle façon de considérer un vieux problème. Par exemple, n’essayons pas de produire tous des nouvelles normes alors que nous disposons déjà de normes parfaitement bonnes que nous pouvons continuer d’utiliser en les adaptant. Les instruments-clés nous permettant d’avancer dans le domaine de la cybersécurité sont, à mon sens : – la législation : c’est un outil très puissant. Bien qu’il faille utiliser la législation avec modération, parce que nous nous trouvons dans un environnement en évolution très rapide et que la législation avance a un rythme qui lui est propre et est difficile à changer. Nous en avons besoin, mais nous devons l’utiliser avec discernement.
12
4e Séminaire IHEDN de Bruxelles 28 juin 2012
– les normes sont aussi très importantes. Nous devons renforcer les normes de l’Enisa, mais j’aime aussi l’idée d’utiliser les meilleures pratiques et renforcer la prise de conscience et le partage de l’information. L’approche ascendante dans ce domaine est assez puissante. Les meilleures pratiques sont dévalorisées et nous devrions les mettre plus en avant. Nous avons besoin de l’approche descendante pour définir la stratégie, mais il est extrêmement important d’utiliser des méthodes ascendantes pour faire partager les expériences et pour montrer comment nos politiques doivent se développer. Cela complète très bien le travail de la Commission dans le sens où nous avons tendance à travailler davantage sur la mise en œuvre des politiques. Donc, nous mettons les mains dans le cambouis. Nous parlons beaucoup aux collectivités opérationnelles en essayant de découvrir ce que leurs communiqués politiques – si jolis sur le papier – signifient en pratique. Quels sont les seuils ? Que devonsnous sacrifier ? Est-ce économiquement viable ? Est-ce pénalisant économiquement pour les sociétés européennes ? Etc. Et c’est comme ça que vous devriez penser l’Enisa. Le directeur administratif et moi-même essayons de faire davantage avancer l’agence dans cette direction. Bien sûr, par l’intermédiaire des collectivités parties prenantes. Le secteur privé a beaucoup d’occasions de travailler avec l’Enisa, et nous passons beaucoup de temps à développer des contacts au sein du secteur privé. Mon rôle, par exemple, consiste à passer la moitié de mon temps à discuter avec des industriels des sociétés du secteur privé et des homologues du secteur privé. Nous prenons cela très au sérieux. Quelques mécanismes permettent à l’industrie de travailler en liaison avec l’Enisa. Le premier mécanisme se fait à travers ce que nous appelons des groupes de travail. Pour presque chaque projet que l’Enisa entreprend, l’agence forme un groupe. Nous essayons d’exploiter l’ensemble de la collectivité et nous formons des groupes de travail virtuels ou concrets en apportant notre expertise aux secteurs public et privé. C’est un mécanisme précieux pour garantir que de vraies expériences soient partagées dans les produits livrables que nous produisons pour la fin de l’année. L’idée sous-jacente est de mobiliser les collectivités vers un objectif commun et de mettre à profit l’expertise qui est présente sur le marché. Il y a de nombreux avantages à participer à un groupe de travail et toutes les collectivités sont les bienvenues. Cela permet aux participants d’influer sur la politique et la législation future, parce que nous conseillons effectivement la Commission et que nous lui donnons un grand nombre d’informations précieuses qui l’aident à prendre ses décisions. Cela vous donne aussi l’occasion d’apprendre de vos pairs, ce qui n’est pas à sous-estimer. Nous avons découvert grâce à nos groupes de travail qu’un grand nombre d’informations très intéressantes permettent aux sociétés de devenir plus compétitives et d’améliorer leurs propres processus. Et cela vous donne l’occasion d’influer sur les normes et les meilleures pratiques.
13
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
La seconde activité de l’Enisa est le renforcement des collectivités. C’est extrêmement important parce que la mission principale de l’Enisa est de faciliter la formation d’une collectivité SNI puissante en Europe. Nous essayons d’aider les collectivités existantes de toutes les manières possibles afin de renforcer leur efficacité. Et nous essayons de construire de nouvelles collectivités quand il y a de toute évidence des lacunes sur le marché. Voici quelques exemples de nouvelles collectivités dont l’Enisa a activement encouragé la création : • La collectivité financière Isac, une collectivité de partage de l’information pour le secteur financier. • Le partenariat public-privé européen pour la résistance, une initiative de la DG Infso, aujourd’hui DG Connect, qui est sous le régime du plan d’action PIIC. C’est accessoirement un instrument très intéressant. Il est très difficile de créer un partenariat public-privé au niveau européen. • Pour finir, l’Enisa coordonne l’exercice de cybersécurité paneuropéen. Il y en a eu un en 2010. Il va y en avoir un autre en octobre de cette année. Nous trouvons que c’est un très bon exemple de création de collectivités. Nous avons démarré avec seulement une poignée d’États membres enthousiastes. Maintenant les 27 États sont impliqués, plus trois États membres de l’AELE. Donc il s’agit là un grand succès en matière de création de collectivités. Dans les collectivités existantes, nous aidons beaucoup les Cert (équipes de réaction informatique), la collectivité des infrastructures essentielles de l’information et nous allons continuer à le faire. Voici quelques exemples des choses concrètes que nous avons faites dans les secteurs privés objets de ce panel tout en nous efforçant d’atteindre les objectifs de la Stratégie numérique, par exemple en établissant des politiques publiques ou de "l’informatique en nuage". Nous avons travaillé avec la Cloud Security Alliance pour apporter un outil très pratique afin que les sociétés puissent évaluer la force des offres des prestataires de services selon un certain nombre de critères de sécurité. Cela a été un immense succès. Certaines personnes du Nist aux États-Unis notamment nous ont demandé si nous voudrions bien faire quelque chose avec eux dans ce domaine. Nous avons beaucoup travaillé à la sécurisation des appareils mobiles, l’un des plus grands défis pour l’avenir. N’oublions pas qu’un téléphone portable est de nos jours un ordinateur faisant en plus téléphone. Les problèmes sont encore nombreux, même si nous revenons de loin. Il y a encore beaucoup de pain sur la planche et ce travail de coopération avec la collectivité a d’ores et déjà produit des résultats intéressants. Nous accomplissons actuellement un grand travail dans le domaine de la protection de la vie privée et de la confiance. Nous travaillons pour cela en collaboration étroite avec DG Justice, le groupe de travail article 29 de DPS Software et les associations générales ont entraîné la Commission sur la mise en œuvre et le développement de cette nouvelle législation. Nous avons beaucoup travaillé sur la certification des violations de la sécurité et des données. Aux États-Unis, la SEC vient de présenter une nouvelle procédure de restitution plus puissante. Cela va
14
4e Séminaire IHEDN de Bruxelles 28 juin 2012
dans la même direction. Je pense que cela va être très important pour l’avenir de l’Europe et il faut absolument le faire bien. Il sera très intéressant de voir comment cela va se développer. Pour conclure, j’aimerais que vous pensiez l’Enisa comme une agence dont l’activité principale est vraiment de faciliter le dialogue. C’est ce pour quoi nous sommes là. Si nous parvenons à faire que les collectivités parties prenantes s’entendent pour faire quelque chose qui améliore le statut de la sécurité de l’UE, et qu’ensuite nous nous retirions, c’est parfait ! Nous aurons alors fait ce que nous devions faire. Encore une fois, j’insiste sur le fait que nous aimerions vraiment avancer davantage dans cette direction, écrire moins de rapports nous-mêmes, mais encourager la collectivité à rédiger plus de rapports avec nos contributions. C’est pourquoi, accessoirement, l’Enisa marque un intérêt à être membre de comités directeurs et consultatifs. Parce que c’est une très bonne manière qui permet d’utiliser une faible quantité de ressources. Pour vous donner une idée de nos ressources : nous ne sommes que 35 personnes au sein de ma direction. Il est donc évident que nous œuvrons dans le cadre d’un calendrier limité. Le second point est que nous allons continuer à aider la Commission et les États membres à formuler la politique de sécurité de l’Enisa. J’insiste sur le verbe "aider". En aucun cas, nous ne dirigeons quoi que ce soit. C’est notre rôle. J’espère que nous remplissons bien notre rôle d’assistance. Nous avons beaucoup contribué à la structure G sur la sécurité de l’Internet, qui se transforme aujourd’hui en structure de cybersécurité G. Pour finir, nous tenons vraiment à approfondir notre collaboration avec l’ensemble des différentes collectivités, y compris le secteur privé, afin d’encourager cette harmonisation des idées, la fixation d’objectifs communs et la création de synergies – et non des contre-synergies – dans l’espace européen. Je suis sûr que nous y parviendrons. Maria José Granero Paris Secrétaire générale, EADS Cassidian Mesdames et Messieurs, comme vous l’avez dit, EADS est vraiment une entreprise fer-de-lance dans le domaine du spatial et de la défense en Europe. Nous nous intéressons naturellement à la cybersécurité depuis plusieurs années, et plus particulièrement depuis un an et demi, date à laquelle nous avons pris la décision de créer un nouveau secteur d’activité consacré à ce domaine. Nous souhaitions en effet accorder toute l’attention requise à ce champ d’activité afin d’offrir les solutions les plus adaptées à ce marché. Nous créons actuellement des sociétés, développons de nouveaux produits dans ce domaine et vendons nos premières solutions à nos clients : des administrations étatiques, des organismes institutionnels et des sociétés privées. Pourquoi avons-nous décidé de créer cette activité consacrée à la cybersécurité ?
15
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
• Parce que nous nous sommes rendu compte que sur chaque marché, il y a toujours eu une cybermenace. • P arce que le nombre de menaces a augmenté très vite ces dernières années. • À cause de la gravité des attaques : espionnage, cybercriminalité nationale, attaques de pays tiers. Ces attaques nécessitent désormais des réactions en temps réel, très rapides. Si ce n’est pas le cas, votre société risque de perdre des informations très précieuses. Il faut aller aussi vite que les auteurs de menaces et ce n’est pas toujours facile d’y parvenir. Nous entrons par ailleurs dans une nouvelle dimension de cette cyberguerre asymétrique. Nous considérons en effet qu’elle est asymétrique parce que par le passé, il y avait un rapport entre tous les produits fabriqués par EADS. Il suffisait d’avoir de nombreux soldats et missiles pour vous considérer comme protégé. Aujourd’hui, si vous êtes la cible d’une cyberattaque, soldats et missiles sont inutiles. Vous devez avoir d’autres capacités pour vous protéger. Nous avons compris que les organisations sont plus vulnérables pour quelques-unes des raisons développées par mes confrères de l’Enisa. L’infrastructure informatique est par ailleurs de plus en plus connectée à l’Internet. Ce qui est son point le plus faible. D’autre part, un nombre croissant d’employés et d’organisations, en particulier au sein des sociétés privées, utilisent des systèmes informatiques portables susceptibles de mettre en péril la sécurité desdites sociétés. Nous avons donc besoin de plus de sécurité au cœur des sociétés. L’informatique en nuage (Cloud computing) retient aussi notre intérêt. Un grand nombre d’organisations utilisent l’informatique en nuage, mais il n’y a pas encore d’évaluation sur le marché. Nous disposons de chiffres qui montrent à quel point ce danger doit être pris en compte par les sociétés. Voici quelques chiffres évocateurs de Mendiant, une société américaine de conseil en cybersécurité : – 1 00 % des sociétés attaquées ont un antivirus, mais ce n’est pas assez. – 94 % des sociétés attaquées ont été informées par des tiers. Pendant un certain temps, elles ne se sont même pas aperçues qu’elles étaient attaquées. En réalité, il faut en moyenne 416 jours à une entreprise pour se rendre compte qu’elle a été la cible d’une attaque. Ce qui signifie que dans la plupart des cas les sociétés réagissent bien trop tardivement. Il est très important que les sociétés privées prennent pleinement conscience de ce problème. Ce sont d’ailleurs non seulement les sociétés privées, mais aussi les organisations gouvernementales et institutionnelles qui sont de plus en plus paralysées par ces attaques. C’est la raison pour laquelle nous menons nos actions. Mais c’est principalement dans le secteur privé que ces besoins de protection sont moins bien admis.
16
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Il est donc très important d’activer un dialogue efficace avec les directions des sociétés privées afin de les aider à prendre conscience des risques auxquelles elles sont soumises, qui pourraient les conduire à une interruption de leurs services, du fait de leur incapacité éventuelle à opérer. Les coûts de rétablissement d’activité d’une entreprise à la suite d’une attaque sont élevés : les chiffres de Symantec montrent que le coût moyen d’une cybercrise s’élève à 2,5 millions de dollars. L’autre coût d’une cybercrise dérive de la perte de propriété intellectuelle et de données sensibles. C’est ainsi, comme on peut le lire dans les journaux, que des organisations chinoises ciblent spécialement des sociétés européennes ayant créé des coentreprises en Chine. Les sociétés victimes de cybercrise sont aussi soumises à un risque de perte d’image. L’entreprise Sony a par exemple été poursuivie en justice l’année dernière par des avocats. Ce qui a coûté 2,5 millions de dollars à une société d’assurance. L’ampleur des risques pris par les entreprises est aujourd’hui mieux perçue et nous pouvons donc plus utilement entrer en discussion avec les directions des sociétés. Finalement, les questions qu’il importe aux directions des sociétés de se poser sont les suivantes : • Quels seraient l’impact économique, l’impact en terme d’activité si nous étions l’objet d’une cyberattaque ? • Quels sont les risques encourus si nous n’entreprenons rien ? Car ne rien faire est une décision. Quels sont les risques et les coûts potentiels d’une telle option ? • Les recommandations de sécurité sont-elles mises en œuvre ? Mettez-vous en œuvre des recommandations sur la cybersécurité ? Comment vérifiez-vous qu’elles ont réellement été mises en place au bout de six mois ou d’un an ? Elles sont peut-être restées à l’état de projet, parce que les processus de mise en œuvre sont très lents dans les grosses sociétés. • Aurions-nous pu détecter l’attaque plus tôt ? Disposez-vous d’un mécanisme d’alerte interne adapté, en mesure de vous informer que vous avez été attaqués, comme un centre des opérations de sécurité ? Comment pouvez-vous vous protéger ? • Votre service informatique est-il préparé aux cyberattaques ? Y a-t-il été formé ? Les employés sontils prêts à coopérer avec tous les experts qui viennent dans votre société ? Plusieurs scénarios de crises doivent être préparés et le directeur doit avoir connaissance à l’avance des différents modèles de gestion de crises. Disposez-vous des ressources humaines nécessaires pour traiter des attaques simultanées ? Avez-vous suffisamment d’employés spécialisés dans la cybersécurité ? Si ce n’est pas le cas, êtes-vous prêt à obtenir des renforts en temps réel ? Travaillez-vous de concert avec un partenaire de confiance qui connaît votre réseau informatique afin de résoudre les problèmes rapidement et efficacement ? Il est très important d’accroître le niveau de prise de conscience des dirigeants de sociétés. Souvent ils prennent conscience des risques encourus lorsqu’ils mettent en conformité la cybersécurité de leurs entreprises.
17
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
Nous avons commencé à parler de protection des données. Si vous utilisez des données appartenant à vos employés, vous pouvez être poursuivis par ces mêmes employés. Si vous perdez des données IP, vos sous-traitants ou la chaîne d’approvisionnement pourraient en être affectés. Vous prenez donc le risque d’être poursuivi en justice par plusieurs parties. En cas de risque économique, mais aussi de perte de données sensibles, votre société peut faire faillite. Nous connaissons des cas de cette nature, où des sociétés parfois puissantes ont été obligées de mettre la clé sous la porte. Il est donc essentiel, en définitive, de vous demander si vous disposez d’un plan de gestion des crises approprié qui protège à coup sûr votre société contre les cyberattaques. Voilà les raisons pour lesquelles nous avons décidé que le rôle d’EADS Cassidian était de travailler avec des clients gouvernementaux, institutionnels et privés afin de les aider à prendre en compte ces processus et à trouver des solutions grâce à la formation. C’est aussi pour cela que nous essayons de mettre en place un Centre de formation à la cybersécurité destiné à former nos propres employés, parce que nous savons qu’il est vraiment très difficile de trouver des cyberexperts vraiment compétents. Mais nous souhaitons aussi que nos clients sachent former leur propre personnel. Nous offrons des solutions clés en main (SOC, Security Operations Centre), parce que certaines sociétés ne peuvent pas se permettre de disposer de tous ces services dans leurs murs. Elles sont conscientes des avantages apportés par un SOC et des retombées qu’elles pourront tirer de leurs partages d’expériences. L’une de nos activités principales est d’offrir des solutions d’infrastructures fiables intégrant les meilleurs résultats obtenus dans le domaine de la cybersécurité. Aujourd’hui, en Europe, nous avons un grand nombre de PME qui offrent quantité de solutions efficaces, notre mission est de les intégrer. Tout le monde aujourd’hui n’est pas capable ou prêt à se lancer dans cette activité. Enfin, pour conclure, nous suivons très étroitement l’évolution de tous les appareils portables et nous commençons à proposer des solutions dans ce domaine également. Comme vous le voyez, nous nous concentrons non seulement sur les technologies, mais aussi sur les processus et les personnes. Il faut trouver le juste équilibre entre ces trois dimensions. Notre objectif est de devenir en cinq ans un chef de file européen dans le domaine de la cybersécurité et d’être en mesure d’offrir à des clients importants les solutions qu’ils attendent de nous. Nous devons développer de nouveaux modèles de défense, parce qu’on exige de nous que nous agissions avec plus d’agilité et plus rapidement. Nous avons bien conscience qu’il nous faut coopérer avec diverses entités. C’est d’ailleurs pourquoi nous sommes en contact avec l’Enisa ou avec l’IHEDN ; nous travaillons étroitement avec ces institutions et nous concluons aussi beaucoup d’autres partenariats à l’heure actuelle en Europe.
18
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Nous suivons de très près toutes les évolutions techniques, mais nous prêtons aussi attention aux aspects de la formation et des processus. De la même façon, nous nous soucions de l’organisation et des aspects des ressources humaines. Comme je l’ai dit, la formation est la clé. C’est la raison pour laquelle nous avons décidé de développer le Centre de formation à la cybersécurité. Pour donner un exemple, il y a quelques semaines, l’Agence de sécurité nationale des États-Unis a reconnu qu’il manquait 10 000 personnes formées à la cybersécurité aux États-Unis. Elle a donc conclu des partenariats avec quatre grandes universités américaines pour former ces gens. Nous devrions faire pareil en Europe. Nous examinons cette idée chez EADS. Enfin, nous devons trouver les bons points focaux pour dialoguer entre organisations, car dans le domaine de la cybersécurité, il est difficile de trouver la personne responsable. Dans un grand nombre d’organisations, c’est à la fois l’officier de sécurité en chef, le responsable informatique voire même le second du directeur général qui est responsable de la gestion des crises. Résultat, il faut mettre ces trois personnes autour de la table pour trouver les bonnes solutions. Comme je l’ai dit, nous apprécions toutes les initiatives institutionnelles européennes, comme, par exemple, la création de l’European Cyber Appliance Centre, en mars. Nous suivons des initiatives comme celle-ci qui est menée par Europol. Nous avons décidé de travailler avec eux. Nous suivons aussi de très près des activités comme celle menée par M. Tunne Kelam, membre du Parlement européen qui représente l’Estonie. Ce dernier tente d’analyser comment la cybersécurité peut être organisée au niveau européen, quel doit être le rôle joué par l’industrie privée, comment les PME doivent être intégrées dans cette coopération et comment une rétribution de l’industrie est requise. Il faut peut-être avoir une certaine taille pour traiter certains problèmes et parvenir à un certain développement. Alberto de Benedictis Directeur administratif, Finmeccanican Si la réponse à la menace était aussi répandue que les occasions qui nous sont données d’en débattre, le problème de la cybersécurité appartiendrait au passé. Malheureusement, nous en sommes encore très loin, le problème s’aggrave de jour en jour, et ce, de manière insidieuse. La dure vérité est que nous ne sommes actuellement pas plus près de cerner – sans parler de maîtriser – le phénomène que nous l’étions il y a quelques années, alors que nos ennemis ont, quant à eux, mis à profit ce laps de temps pour devenir de plus en plus sophistiqués et envahissants. Ce à quoi nous assistons dans l’environnement cible à haute valeur ajoutée qu’est le monde de l’entreprise – et je considère notre industrie aérospatiale et de défense comme une des cibles de prédilection des attaques – c’est à une approche agressive visant à briser nos systèmes, dissimuler l’objectif, extraire la précieuse adresse IP de la société et demeurer en profondeur en conservant une capacité de surveillance et d’accès à
19
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
volonté. Ce niveau de menace avancée, persistante, nécessite un investissement important en temps et en ressources et est nécessairement motivé par le fort gain de potentiel dont cherche à profiter l’intrus. Il ne fait aucun doute que les efforts massifs que font les sociétés comme la nôtre ainsi que les opérateurs institutionnels révèlent qu’il ne s’agit pas d’activités anodines, le réseau mondial d’échange de données étant un champ de bataille clandestin sur lequel on ne tient systématiquement aucun compte des règles de l’engagement commercial international et où le risque d’être découvert est insignifiant. Je fais la distinction entre trois catégories majeures de cyberrisques : la première, qui comprend toute une panoplie d´infractions allant du vol d’identité au vol d’argent, de la fraude à la pédopornographie, tombe directement dans la catégorie du crime traditionnel. Les statistiques montrent clairement que l’utilisation criminelle de l’Internet continue de progresser à un rythme rapide parce que l’Internet offre des coûts moindres et expose ceux qui souhaitent exploiter les points faibles de la sécurité à moins de risques. Il est intéressant de noter que nous sommes bien plus conscients de la sécurité physique que de la sécurité de l’Internet. Le cybercrime n’est pas quelque chose de difficile à perpétrer ; il exploite simplement la différence matérielle entre la façon dont nous nous protégeons physiquement et la façon dont nous le faisons virtuellement. Dans le monde réel, nous passons beaucoup de temps et dépensons beaucoup d’argent pour assurer la sauvegarde de nos biens et de notre vie. Dans le monde virtuel, nous déléguons notre protection aux infrastructures et aux fournisseurs d’accès et de logiciels qui, croyons-nous, sont bien mieux placés que nous pour garantir la sécurité de notre domaine virtuel. Ce dont nous ne semblons pas avoir conscience, c’est qu’aucun de ces opérateurs ne dispose ni ne pourrait disposer d’une baguette magique pour nous protéger de toutes les menaces qui s’abattent sur le cybermonde. Les attaques ciblées, visant à voler, escroquer, exploiter, n’ont pas besoin d’opérer autour des barrières artificielles des systèmes protégés. Ces menaces prennent des formes trompeuses jusqu’à ce qu’il soit trop tard et que le mal soit déjà fait. Votre logiciel de sécurité met à jour votre base de signatures à chaque fois que vous ouvrez une session, parce que quelque part quelqu’un a déjà été attaqué de la même façon et que le logiciel malveillant (malware) a déjà été détecté, catalogué et disséminé pour protéger les autres de la même menace. Je crois que quelque 80 % de nos vulnérabilités de signature viennent de ce que la catégorie est très facile à trouver et que ce problème pourrait être résolu et les menaces éliminées, si nous, en tant qu’individus et organisations, adoptions une approche plus consciente et plus active grâce à une bonne formation, l’utilisation du bon sens et des mesures techniques directes. Nous n’hésitons pas, par exemple, à insérer une clé USB remise par un ami, un associé voire même un étranger, dans notre PC, et donc dans le réseau de notre société. Cela demanderait peu d’efforts, du moins pour les sociétés, de garantir, au moins, qu’aucun support n’est connecté sans vérification et validation préalables. Vous ne laisseriez pas votre voiture ouverte dans une rue bondée avec la clé contact à l’intérieur, n’est-ce pas ? La deuxième catégorie de cybermenaces est ce que j’appelle la menace de protestation ; elle prend de nombreuses formes et vous êtes tous conscients de ce que les attaques ont fait en termes de refus de service contre les sites Web des sociétés ou des gouvernements. Si vous croyez que votre
20
4e Séminaire IHEDN de Bruxelles 28 juin 2012
mission est de gêner et de perturber, presque chacun d’entre nous peut devenir un "hacktivist". Ces attaques sont généralement de courte durée et en toute probabilité sans danger ; elles interrompent seulement le service. Toutefois, des attaques plus subtiles et persistantes attribuées à des groupes protestataires ou d’inspiration politique peuvent rapidement monter en grade, et d’un désagrément devenir un problème. Tels sont les innombrables vols de données du gouvernement et de sites Web privés à des fins de démonstration, mais où l’élimination ultérieure des données elles-mêmes est laissée à la bonne volonté des auteurs. Ces informations sont de plus en plus transmises à d’autres groupes moins motivés par l’idéologie et prêts à payer pour elles, puis commercialisées à travers les supermarchés numériques de l’Internet. Dans ce supermarché souterrain, les données sont non seulement vendues et achetées, mais les rayonnages sont remplis d’outils logiciels malveillants conçus pour mettre en échec la plupart, si ce n’est la totalité, des logiciels et des appareils de protection vendus dans le commerce. Troisièmement, le plus grand cyberrisque à mes yeux, c’est la menace qui pèse sur les gouvernements et les entreprises de la part de groupes riches et parrainés par l’État qui mettent au point et déploient les technologies de menaces les plus sophistiquées. Ce ne sont pas seulement ce qu’on appelle les systèmes militaires de classes mis au point pour tester les réseaux militaires et, en général, les défenses d’un État souverain ou d’une alliance, mais les menaces persistantes avancées qui s’en prennent à la propriété intellectuelle des entreprises, testent la résistance des infrastructures nationales cruciales ou sondent les faiblesses des systèmes en s’incorporant furtivement pour une exploitation future. Pourquoi ces menaces sont-elles particulièrement néfastes ? Les attaquants ne sont pas limités dans leurs ressources ; ils peuvent déployer un grand nombre de codeurs dans une approche systématique pour développer un logiciel malveillant sophistiqué et le tester, avant son extension, sur toute protection plus moins résistante que l’on peut trouver dans le commerce. Cette menace est très difficile à détecter parce qu’elle est conçue pour camoufler son origine, plonger profondément dans le réseau, s’autohéberger furtivement comme un programme logiciel bénin, masquer ses intentions en s’exécutant sporadiquement, poursuivre l’extraction de données-clés sur les vulnérabilités et la propriété intellectuelle du réseau ou compromettre les informations sur lesquelles se fonde la prise de décision. C’est là que nous investissons de façon significative en tant que société : la sécurisation de notre propre infrastructure est un domaine qui se trouve au cœur de notre activité de cybersécurité. Au sein de Finmeccanica, nous misons sur la sécurité informatique depuis plus d’une décennie et nous exploitons deux centres des opérations de sécurité, un en Italie principalement pour les domaines non classés, et un au Royaume-Uni pour les réseaux restreints. Nous avons plus de 3 000 clients petits et grands, dont un certain nombre d’agences gouvernementales et d’importants fournisseurs d’infrastructures. Notre activité emploie plus de 600 cyberspécialistes et croît annuellement à des taux à deux chiffres. Nous disposons de notre propre laboratoire pour analyser et tester les logiciels et les appareils et pour mettre au point des capacités sur mesure visant à traiter les menaces les plus importantes. Cette année, nous avons obtenu le plus grand contrat sur la cybersécurité jamais attribué en Europe, la capacité de réponse aux incidents informatiques de l’Otan, qui est destinée à fournir à
21
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
l’Otan et ses plus de 50 commandements dans 28 pays, une capacité à la pointe de la technologie pour détecter les cyberincidents survenant dans leurs réseaux de données et y répondre. Cet effort est important parce que nous avons pris conscience que la réponse est la clé de la cybersécurité. Dans les domaines où nous opérons, notre expérience nous dit qu’il est toujours possible de pénétrer dans un réseau, à moins qu’il n’opère en isolation totale du monde extérieur ; et je ne pense pas à une absence de connexion à l’Internet puisque pour être réellement isolé, il faudrait également que les supports extérieurs ne puissent pas y accéder. Un réseau peut toutefois être vigilant contre les comportements inhabituels, réagir rapidement en isolant et en contenant le compromis et tromper l’auteur en lui faisant croire qu’il a réussi son effraction. Pour parvenir à ce niveau de réactivité des réseaux, il faut opérer dans une dimension différente de celle dans laquelle la plupart des réseaux informatiques opèrent aujourd’hui. Cela nécessite une gestion informatique active de l’infrastructure informatique avec une défense en couches comme seule approche solide de la protection. Cela veut dire, par exemple, que la conception du réseau doit être réévaluée pour garantir qu’il est suffisamment compartimenté. Cela signifie la capture complète des paquets appliqués à toutes les passerelles. Cela signifie aussi que tous les nœuds ont besoin d’un suivi actif et d’une configuration dynamique, et que l’enregistrement, la gestion et l’analyse des événements, avant, pendant et après, sont essentiels pour la détection. Mais cette capacité n’est en fin de compte pas meilleure que votre personnel préposé à la sécurité informatique et cela est toujours l’un de nos principaux domaines de développement. Aucune technologie ne peut remplacer un opérateur informatique bien formé et expérimenté qui fait preuve d’une compréhension profonde de toute l’étendue du problème. Parce que ces compétences sont trop difficiles à développer, la génération en interne du niveau de capacité requis pour une protection efficace est une option improbable pour la plupart des opérateurs de réseaux informatiques pour les entreprises ou les gouvernements, et ce d’autant plus que la probabilité qu’ils soient exposés à toute la gamme des risques est très faible. C’est la raison pour laquelle nous opérons des SOC depuis plus de dix ans et que nous élargissons l’environnement de nos clients afin qu’il englobe les agences gouvernementales, les fournisseurs d’infrastructures et de services et les petites et grandes entreprises et institutions financières. Certains de ces clients opèrent dans des domaines sensibles comme la défense, où les vecteurs d’attaque peuvent être extrêmement sophistiqués. Le fait d’agir sur une large gamme d’infrastructures informatiques offre une visibilité sans pareille sur tout l’éventail de menaces et permet de se faire une idée très précise de la dynamique invisible de la pègre cybernétique. Nos SOC nous permettent de déployer instantanément les outils logiciels les plus appropriés à travers des réseaux multiples, à savoir le scannage à grande vitesse des passerelles et des nœuds pour détecter les comportements inhabituels et le suivi des collectivités Internet pour débusquer le prochain vecteur de menace. En outre, nous avons récemment terminé l’installation d’une capacité informatique dédiée haute performance sur l’un de nos sites pour permettre une analyse quasiment en temps réel de téraoctets de données.
22
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Cependant, quelles que soient la force d’une seule équipe et la richesse de son expérience, il est très important d’étendre cette capacité à une collectivité plus large de fournisseurs de services de sécurité dignes de confiance. C’est sur ce point que le débat politique a lieu en ce moment au Royaume-Uni où l’on a beaucoup réfléchi à des modèles possibles d’interaction entre les communautés d’intérêts. Notre équipe travaille en collaboration avec le gouvernement et d’autres sociétés britanniques sur les mécanismes d’un modèle de concentrateur (hub) et de nœuds pour permettre une meilleure protection de l’infrastructure nationale informatique et de l’environnement économique du pays. Les nœuds sont pensés comme des groupes industriels joints de participants dignes de confiance qui incluraient aussi des départements gouvernementaux partageant souvent des vecteurs d’attaque similaires alors que le concentrateur est un nœud gouvernemental spécialisé conjoint qui se nourrit des groupes et, après aseptisation, les dissémine en les déclarant appropriés à la collectivité dans son ensemble. Nous faisons partie du groupe de l’industrie de défense qui, avec les finances, est l’un des premiers à avoir été mis sur pied et dans lequel le partage des renseignements confidentiels a déjà commencé. Cela me conduit brièvement à poser la question-clé d’aujourd’hui, à savoir quelle est la portée d’une stratégie européenne de cybersécurité ? Je crois que ce que fait l’Enisa pour renforcer la prise de conscience et créer une capacité de réponse aux incidents dans tous les pays européens est une étape importante dans la création d’une culture de la sécurité à travers toute l’UE. L’infrastructure informatique de l’Europe est la colonne vertébrale de l’activité économique et de l’interaction sociale de l’Union, et le bien-être de l’Europe dépendra beaucoup de notre capacité à protéger et à nourrir cette infrastructure. Il est d’une extrême importance pour les sociétés telles que la nôtre dont les activités s’étendent sur plusieurs pays que les normes de sécurité soient renforcées dans l’UE. Et parce que les infrastructures ne connaissent effectivement pas de frontières, leur sécurité est leur point le plus faible. J’espère que l’Union partagera notre vision, à savoir qu’il faut résister à la tentation de traiter le problème par le biais de cadres régulateurs. Cela ne fonctionnera pas dans un environnement qui prospère sur l’avantage technologique, de faibles barrières d’entrée et des taux de changement élevés. Je suis pour des solutions exploitables et pragmatiques qui reposent sur des actions justes menées par des opérateurs qui pensent que c’est aussi dans leur intérêt. Nous avons conclu un partenariat avec Chartis, l’une des compagnies d’assurance les plus importantes de Grande-Bretagne, pour lancer CyberEdge, un produit d’assurance destiné à protéger les sociétés contre les pertes ou les violations de données ; pour notre part, nous fournirons aux clients de Chartis une réponse aux incidents informatiques. L’UE pourrait nous prêter main-forte en garantissant une prise de conscience et une compréhension appropriée des menaces, une appréciation des meilleures pratiques et l’encouragement de ces sociétés, dont l’objectif est de rechercher la protection des informations la plus hermétique possible. Comme je l’ai dit au début de mon intervention, la majeure partie du problème peut être traitée avec un investissement minimum, mais, sur ce point aussi, la route est encore longue.
23
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
Gérald Oualid Chargé du développement de l’activité de sécurité chez Alcatel-Lucent Tout d’abord, j’aimerais vous présenter les services que nous proposons. Nous fournissons des projets aux fournisseurs de services, des réseaux fixes et des réseaux IP. Nous fournissons aussi des projets aux industries stratégiques ainsi qu’aux grandes sociétés qui ont des filiales présentes dans le monde. Nous fournissons aussi des projets aux entreprises. Nous offrons des solutions clés en main de bout en bout et quand nous fournissons le réseau, quand nous fournissons des services, nous sommes amenés à nous occuper de la sécurité. En ce qui concerne la sécurité, Alcatel-Lucent s’est fixé trois axes. Le premier concerne les solutions. Nous devons mettre en place des fonctions de sécurité dans nos produits. Nous pouvons aussi fournir un Apsirt, ce qui signifie que nous avertissons tous les clients des vulnérabilités de nos produits afin qu’ils puissent réagir de manière appropriée. Le second aspect de la stratégie, c’est la participation active à la définition des normes. Nous disposons d’une équipe de recherche travaillant avec les groupes de travail sur la sécurité. La définition de la norme c’est le fichier de données X.805. Nous traitons aussi de brevets ayant des fonctions de sécurité et de projets européens de grande valeur. La troisième partie concerne les services. Cette division fournit des services de sécurité qui ne créent aucun problème de sécurité lorsqu’ils intègrent le produit final. Elle prend en compte la sécurité dans les projets clés en main. Quand nous traitons un problème clé en main, nous traitons un réseau et le projet doit être sécurisé. Nous sommes un client des firmes de télécommunications, et les fournisseurs de services de grandes entreprises. Nous avons maintenant un grand nombre de projets de sécurité purs, parce que nos clients nous demandent à la fois des services de sécurité destinés à leurs locaux, mais aussi à leurs processus de fabrication. Que faisons-nous au sein de nos services de sécurité ? Nous fournissons toute la gamme de services que l’on peut attendre. En particulier des services de consultation, parce que ce que recherchent nos clients c’est que nous leur proposions une politique de sécurité. La première étape dans un projet relatif à la sécurité est de déclencher une prise de conscience sur les différents types de politiques de sécurité pour permettre d’appréhender la solution la plus appropriée à l’entreprise. Nous faisons aussi beaucoup de suivi des affaires et mettons en œuvre des processus de récupération des données à la suite d’accidents/incidents. Le second aspect de nos services est de concevoir et de mettre en place des services de sécurité. Par exemple, quand nous mettons en place un réseau IMS, la télévision LTE, mobile ou en circuit fermé, ou à présent l’informatique en nuage, il y a toujours une architecture de sécurité à définir de bout en bout. Nous déployons les systèmes de sécurité nécessaires pour l’architecture d’un tel système ainsi que
24
4e Séminaire IHEDN de Bruxelles 28 juin 2012
les briques de sécurité associées. Il est important de rendre la sécurité simple afin que nous n’ayons pas à apporter de nouveaux produits ; le système de sécurité ne doit pas être difficile à exploiter. Nous pouvons aussi fournir des solutions de sécurité clés en main pour protéger tout le "parc web" et procéder à des contrôles. Nous fournissons surtout des services de sécurité. Le niveau de sécurité pour le réseau ou le SNI est le plus faible. Ce n’est pas la partie la plus productive. Voilà pourquoi nous voulons fournir un centre des opérations de sécurité (SOC). Nous encourageons la séparation des tâches comme 27 001. Certaines personnes gèrent les équipements et d’autres en assurent le contrôle. Chez Alcatel-Lucent, nous nous efforçons de mettre sur pied deux équipes différentes. Nous avons un centre d’exploitation de réseau (NOC) qui se charge de la gestion de l’équipement et un SOC qui assure simplement le contrôle. Pendant la phase de contrôle, nous fournissons des services de prévention. Le premier est le Cert-IST. Pendant la majeure partie des dix dernières années, nous avons exploité l’agence de réponse informatique afin d’offrir des applications et des conseils innovants à nos clients. Nous fournissons des analyses panoramiques de vulnérabilité pour découvrir le type de vulnérabilité dont souffre le réseau et pour définir un plan d’attaque. Nous fournissons aussi un contrôle de conformité. Nous proposons, en tant que services d’urgence : l’analyse de registre, la détection des incidents, ainsi que des activités d’édition d’états (reporting). Nous avons constaté que les menaces ont énormément évolué. Il y a cinq ans, il était facile d’attaquer un système parce que tous les clients manquaient de protection face aux attaques massives de virus, et qu’il n’y avait aucune protection globale. Aujourd’hui, toutes les sociétés disposent d’antivirus et de pare-feu pour protéger leurs actifs. Par ailleurs, le laps de temps entre le déclenchement d’une cyberattaque et sa découverte a beaucoup diminué. C’est d’ailleurs pour évoquer le temps d’action réduit pour mener une cyberattaque que l’on parle de zero-day. Il y a aussi de plus en plus d’attaques ciblées, comme les réseaux zombies (botnets) et les attaques DDoS. Nous avons à ce sujet, beaucoup de clients dans les secteurs financier et industriel. C’est ainsi que nous sommes au courant des attaques les plus récentes dans ce domaine. Pendant la crise financière par exemple, les compagnies financières ont été attaquées plus que les autres. D’autre part, nous constatons parfois une prolifération des attaques contre les compagnies pétrolières, par exemple à l’occasion de marée noire, comme celle qui a récemment eu lieu au large du Mexique. Nous constatons que les cybercriminels se professionnalisent de plus en plus parce qu’ils découvrent les remèdes avant même le développeur. C’est ainsi que nous pouvons désormais trouver de nouveaux remèdes sur l’Internet. Par exemple pour s’équiper des moyens d’alerte d’une attaque par réseau zombie il en coûtait seulement 50 euros pour les entreprises bien informées… S’il y a une attaque, si la personne qui veut attaquer n’est pas un professionnel, elle peut demander de comparer le virus au système. Il est aujourd’hui difficile de faire prendre conscience aux gens des dangers de l’Internet et de leur faire comprendre l’importance de ne pas cliquer sur tous les courriels qu’ils reçoivent, de se méfier de l’origine trompeuse des courriels. Les motivations et les moyens d’attaque évoluent donc beaucoup.
25
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
Il y a quelques années, les attaques informatiques ne concernaient qu’une poignée d’étudiants qui voulaient prouver qu’ils étaient qualifiés et experts dans le système. Maintenant, il y a toute une économie d’arrière-plan derrière le lancement d’attaques. Le chantage y a sa part. Si une personne, un groupe malintentionné, parvient au cœur de vos capacités, il se peut parfaitement que vous soyez contacté et menacé d’une rupture de votre système informatique faute d’avoir payé une certaine somme. Dans ce genre d’attaques, l’objectif recherché est de stopper l’activité de l’entreprise. Les attaques intitulées "menace persistante avancée" ou APT (Advanced Persistent Threat) sont en mesure de conduire à des pertes de données colossales. Il est très difficile de découvrir ce type d’attaque parce qu’elle ne bloque pas votre système informatique. Les auteurs de l’attaque vont donc profiter de leur temps pour découvrir et voler toutes vos données confidentielles, telles que les brevets et les données sur vos clients. Pour s’opposer à ces attaques, il n’y a pas d’antivirus suffisamment efficace. Il faut donc mettre au point de nouveaux moyens de détection de ce type d’attaques. Un autre type d’attaques est ce qu’on appelle le piratage informatique ou Cyberhacktivity. Ces attaques sont assez simples à éviter, parce qu’elles s’en prennent seulement à des serveurs Web pas très bien sécurisés. Il est important de sécuriser tous les aspects de l’Internet. Il est bien sûr utile de sécuriser le point de contact extérieur Internet, mais il faut savoir que 70 % des attaques viennent de l’intérieur. Elles peuvent provenir d’un contractant ou de personnes en conflit avec la société. Deux types d’attaques sont aujourd’hui mis en œuvre. Le premier concerne les réseaux industriels, tous connectés par IP, à travers un système informatique basé sur du matériel Microsoft obsolète. Les éditeurs ne veulent pas perdre de temps à corriger, remettre à niveau, ce genre de systèmes. Dans cette configuration les entreprises clientes doivent fournir de nouveaux services pour protéger leur environnement, par SPI et pare-feu, afin de garantir la sécurité de leur système informatique. Un autre type d’attaques s’opère par le truchement des téléphones intelligents (Smartphones). Le téléphone intelligent, dont l’utilité est incontestable, est toujours connecté au service informatique de la société. Mais sur votre téléphone intelligent se trouvent tout votre courrier électronique, tout votre réseau, tous vos messages professionnels et toutes les infos de votre entreprise. Autant d’informations dont sont friands les acheteurs d’attaques. Avec les réseaux industriels et les téléphones intelligents, nous nous trouvons dans la situation d’il y a dix ans. Il nous faut donc traiter avec ces nouveaux types d’attaques. De nombreux clients nous disent ne pas vouloir investir dans la sécurité, car ils nous disent ne pas avoir été soumis à des attaques informatiques au cours de ces dernières années. La question n’est pourtant pas de savoir si telle ou telle entreprise va être attaquée, mais quand elle va l’être. Lorsque nous installons un nouveau système, nous nous efforçons toujours de le sécuriser au mieux, mais très vite la sécurité dépasse le processus d’un fonctionnement de type purement binaire :
26
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Marche/Arrêt. La sécurité de votre système informatique va décliner au fil du temps parce que les événements de la sécurité informatique sont intangibles. Vous ne découvrez vos problèmes de sécurité qu’en mettant le doigt sur votre problème ou lorsque l’on vous dit que vous avez un problème. Souvent, les plates-formes divergent au fur et à mesure que le temps passe, à cause du taux de renouvellement du personnel et de la perte de savoir-faire. Des solutions temporaires sont mises en place en urgence puis oubliées. Les conditions préalables sont elles aussi oubliées. On décèle souvent de nombreux problèmes au niveau du pare-feu. Finalement, confrontées à tous ces problèmes, les sociétés ne savent plus quelle politique de sécurité mener. Beaucoup de clients pensent être à l’abri parce qu’ils ont une politique de sécurité stricte. Mais ce qu’il faut, c’est contrôler à tout moment que votre politique de sécurité est adaptée. À ce sujet, la première question que nos clients posent, c’est de savoir quelle est la façon de mesurer le résultat d’une politique de sécurité informatique. C’est précisément pourquoi ils ont besoin d’un Centre des opérations de sécurité qui sera à même de leur fournir ces informations. Nos clients doivent aussi justifier les investissements requis. Les directeurs d’entreprises demandent toujours au SSI si le système lutte bien contre des virus du type Flame et souhaitent savoir s’ils sont la cible de ce type d’attaques. Il est important d’être en mesure de répondre à ces questions. Trop de sociétés perdent des informations sur ce qui se déroule au sein de leurs réseaux. Voilà pourquoi il est important de mettre en place un centre d’exploitation de réseau (NOC) et un centre de gestion des menaces. Pour ce qui est du contrôle, il s’agit de détecter les problèmes. Beaucoup de clients veulent que le travail soit fait par la même équipe, et ils ont toujours des problèmes parce que toutes les ressources de la société sont concentrées sur la gestion des ressources et pas sur le contrôle. C’est ainsi qu’au moment où ils subissent des attaques, il s’avère qu’ils n’ont pas été capables de les détecter. À notre avis, il est important de revenir aux principes fondamentaux en matière de contrôle de la sécurité. Cela signifie qu’il n’est pas nécessaire de bâtir une énorme architecture pour détecter les problèmes, mais il faut adopter une approche pragmatique. C’est pourquoi le contrôle de la sécurité prend trois aspects. Premièrement, il faut déterminer au cas où il y a des attaques d’où elles viennent. C’est-à-dire qu’une entreprise touchée par cette problématique doit d’abord procéder à une longue analyse des pare-feu, des passerelles, du VPN et de l’IDS. Et à propos de telles opérations, il est important de souligner qu’un grand nombre de nos clients n’appliquent pas une politique adaptée pour consigner les informations recueillies. Le deuxième aspect du contrôle de la sécurité est de déceler les mauvais comportements. Tous les SSI disposent des rapports de proxys et des courriels qui permettent d’accéder à de nombreuses informations. Cela passe aussi par le contrôle de conformité du SOX, du PCI et du Nerc. Le SOX peut fournir ce type d’informations.
27
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
Il faut savoir que 70 % des attaques exploitent d’anciennes vulnérabilités. Il est donc important pour les entreprises de bien gérer leurs vulnérabilités. Il faut qu’il y ait une surveillance de sécurité digne de confiance. Une entreprise applique rarement tout ce travail de surveillance parce qu’il est trop vaste. Les entreprises doivent avoir à cœur de déceler à quels problèmes elles peuvent avoir affaire pour mieux se concentrer sur les efforts qui leur permettront de se protéger des attaques. Il faut trouver un moyen de surveillance efficace. C’est pourquoi il est important d’en "revenir aux bases". Nous avons constaté de nombreuses et nouvelles attaques avec Flame ou autres virus. Et nous observons souvent que ces attaques se détectent au travers des rapports SSI qui contiennent toujours quelques informations. Pour ce qui est de Flame, si tous les serveurs ne sont pas protégés, vous retrouvez dans les rapports un grand nombre d’informations qui vous indiqueront quels serveurs sont attaqués. Le hameçonnage est un autre problème. Un grand nombre des points faibles de nos clients se trouvent sur les postes de travail de leurs personnels parce que les réglages n’ont pas été bien faits. Les entreprises doivent également s’appuyer sur des services de prévention. Je pense que ce sont les services les plus efficaces parce qu’ils n’agissent pas sous le coup d’une attaque. Ils disposent donc du temps nécessaire pour protéger les actifs. Il y a tout d’abord la surveillance dite de sécurité et puis il y a aussi les scanners de vulnérabilités. Ces outils sont bien faits, mais la partie la plus importante du travail consiste à analyser les rapports ainsi que les développements de la sécurité. Un autre élément important de la prévention est la gestion de conformité des pare-feu. Trop de rapports indiquent en effet que de nombreuses personnes ne connaissent pas la matrice des flux. En ne connaissant pas l’historique des flux ouverts dans le pare-feu, ni l’impact des nouvelles règles, elles finissent par perdre la maîtrise du pare-feu. Il faut remettre au goût du jour ce type de contrôles qui vont permettre de réduire le nombre d’attaques au sein des systèmes informatiques. Pour s’opposer aux cyberattaques, il est important de qualifier l’événement de sécurité. Cela signifie faire une petite enquête pour détecter les faux positifs, parce qu’il n’y a pas assez de personnes chargées de la sécurité dans les sociétés pour détecter les attaques qui sont très rares. Il est donc très important de se concentrer sur les attaques dans leur ensemble. Le second point est de signaler l’incident. Cela veut dire trouver toutes les informations à propos des attaques et les moyens techniques mis en œuvre. Puis, bien sûr, il est important de détecter les dommages causés par l’attaque ainsi que son impact potentiel, parce que la réaction de la société ne sera pas la même suivant les cas. Enfin, vous avez besoin d’un plan d’action, d’une facilité d’utilisation et d’une liste des actions prioritaires parce que le risque zéro n’existe pas et qu’une société ne sera jamais à l’abri à 100 %. Donc
28
4e Séminaire IHEDN de Bruxelles 28 juin 2012
il faut faire un choix sur les risques. Au centre des opérations de sécurité, ils disposent de toutes les informations nécessaires pour prendre les bonnes décisions. Il est aussi très important de donner les informations à la direction. C’est l’une des clés de la sécurité. Pour la sécurité, l’approche descendante est importante parce qu’elle permet de financer certains projets et, qu’après sa mise en place, la direction connaît le vrai niveau de sécurité et comprend comment cette approche protège les services. Donc elle peut être utilisée par le chef de la direction et le gestionnaire des risques. Concluons sur le centre des opérations de sécurité : la sécurité est plus une question de processus que de techniques. L’élément le plus important est de revenir aux bases ; nous avons vu trop de projets échouer simplement parce les gens voulaient faire d’énormes projets en oubliant leur objectif. Nous avons constaté qu’ils négligeaient tout le temps de consolider le niveau de sécurité. Nous avons besoin d’un comité d’intérêts pour fournir des informations sur la sécurité et pour évaluer la sécurité à l’intérieur du réseau.
Questions et réponses François Géré Permettez-moi de commencer en abordant la question de la coopération Royaume-Uni, États et Union européenne. Je veux en effet profiter du fait, Monsieur Purser, que vous soyez britannique et, en même temps, un représentant de l’Enisa. Il y a quelques semaines, en Estonie, j’ai eu une discussion très intéressante avec la baronne NevilleJones. Au cours de notre conversation, elle a défendu le point de vue suivant : « la coopération est certes une belle et bonne chose – et au niveau européen, elle ne peut qu’être fructueuse –, mais, en tout premier lieu, il faut que nous mettions sur pied notre propre cyberdéfense britannique… » Comment associez-vous l’approche de l’industrie qui, par définition, est transnationale, la vision de l’UE, qui est européenne, et peut-être la tendance d’un certain nombre de pays à considérer, avant toute chose, qu’ils doivent être prêts à assurer leur propre protection ? Steve Purser Je considère cela comme un ensemble de briques. Si l’on veut construire une maison sûre, les briques doivent être cohérentes entre elles et de bonne facture. Néanmoins, je pense qu’il faut tenir compte des aspects mondiaux et transfrontaliers bien plus tôt dans le processus. C’est un problème d’actualité. En disant cela, Madame Neville-Jones exprimait l’idée que nous devons mettre sur pied notre propre atelier, mais je suis certain que parallèlement, elle est parfaitement consciente de la nécessité de nous aligner non seulement sur l’Europe, mais sur le reste du monde, afin que ce qui est fait au Royaume-Uni ou dans un autre État membre ne soit pas incompatible avec ce que font tous les autres pays.
29
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
Mon collègue a fait référence à une sécurité à plusieurs couches. J’aime assez cette idée. Il est vrai que bon nombre d’architectures sont actuellement conçues en couches successives et que chaque couche repose sur la précédente. Même au niveau transfrontalier, s’il fallait créer une architecture transfrontalière très élaborée pour créer un monde meilleur, cela risquerait de former une brique incohérente avec le reste. Je voudrais faire par ailleurs deux remarques : je ne pense pas que cette brique serait incohérente, mais je suis convaincu que la réflexion transfrontalière – et entre collectivités de spécialistes – doit intervenir beaucoup plus tôt au cours du processus. Par ailleurs, nous avons 27 solutions à un même problème et il est extrêmement difficile d’assembler 27 solutions. En conception, nous disons qu’il faut intégrer la sécurité le plus possible dans le processus, d’ordinaire dès l’analyse des risques qui précède la phase de conception, certainement pas lors de la phase de mise en œuvre. En matière de coopération internationale, il faut avoir le même schéma en tête. Alberto de Benedictis J’ajouterai seulement – en ce qui concerne le Royaume-Uni – que le gouvernement britannique s’investit beaucoup dans cette question. Comme cela a été dit précédemment, la contribution du gouvernement à l’identification des menaces est absolument essentielle, en particulier dans un environnement où la menace est élevée. Franchement, au Royaume-Uni, cela est bien pensé et le modèle que nous essayons de mettre en œuvre au Royaume-Uni, qui est d’après moi unique en Europe actuellement, consiste à faire collaborer les organisations gouvernementales et les secteurs industriels. Parce qu’il s’agit de renseignements névralgiques. Mais comment les partager ? Comment les rendre utiles dans la pratique ? En même temps, comment éviter de porter préjudice à la source d’information et s’assurer qu’elle est bien protégée ? C’est un problème fondamental. Si nous parvenons à établir un bon modèle, je pense que cela sera utile à l’UE. Cela sera utile pour les pays. Nous préconisons bien entendu une coopération plus étroite entre les gouvernements, parce que si certains ont une action particulièrement bonne, intéressante ou utile, je pense qu’elle devrait être partagée. La question est alors : jusqu’à quel point ces collaborations sont-elles étroites ? Avec quelle vitesse ces collaborations permettront-elles la transmission des informations ? Steve Purser Il faut que je vous donne un exemple, qui m’est arrivé et qui montre vraiment la nécessité d’une coopération internationale.
30
4e Séminaire IHEDN de Bruxelles 28 juin 2012
J’ai travaillé dans un grand établissement bancaire au Luxembourg, qui brasse des milliards de dollars et qui avait donc un système de sécurité très sophistiqué. Notre centre de données principal est tombé en panne. Nous avons dû revenir à la sauvegarde précédente, parce que tout le réseau national était en panne. Il n’est pas tombé en panne à cause d’un problème au Luxembourg, mais à cause d’un problème en Allemagne. Cette situation est très intéressante, car elle soulève des tas de problèmes de dialogue. Premièrement, le service des litiges décide très rapidement qui joindre au niveau du gouvernement. Ensuite, le gouvernement doit décider qui appeler au niveau intergouvernemental. Aucune de ces chaînes n’est très solide. On peut donc subir un impact très important en très peu de temps si toutes ces procédures et tous ces interlocuteurs n’ont pas été établis à l’avance. Maria José Granero Paris Il est clair que cette question doit être abordée avec chaque entreprise qui travaille avec la défense. Nous avons l’habitude de traiter ces sujets. Je suis convaincue que nous pouvons trouver des solutions communes pour proposer des prototypes européens et des solutions européennes. Nous devons prendre en considération que les besoins des gouvernements, des institutions et des clients privés sont différents. Par conséquent, nous devons organiser nos entreprises en interne pour nous occuper de ces besoins spécifiques. En définitive, nous ne devons pas nous focaliser sur un seul type de client. Les entreprises publiques sont les seules entreprises nationales dont nous parlons. En réalité, nous avons des groupes d’entreprises possédant une infrastructure nationale critique, à l’image d’EDF, qui a des centrales nucléaires dans toute l’Europe. Cela signifie que pour proposer une solution à ce type de clients, on doit leur offrir une solution européenne. Sinon, on introduit de la complexité dans leurs systèmes, parce que, comme le disait mon collègue de l’Enisa, nous n’avons pas 27 solutions, mais une solution dans chaque pays où nous possédons une centrale nucléaire. Comment une société privée peut-elle partager des informations en interne ? On en revient à ce problème de données nationales sensibles. Je suis convaincu qu’une solution européenne est possible. Kai-Helin Kaldas, représentante estonienne à l’UE Monsieur Purser, vous avez mentionné l’importance d’établir des normes minimales de sécurité. Vous faisiez sans doute référence aux problèmes de stabilité des réseaux. J’aimerais avoir votre point de vue sur les mesures de confiance (MDC) électroniques. Je sais que l’OSCE, par exemple, a créé un groupe de travail informel pour les MDC électroniques. Ma deuxième question s’adresse à Madame Granero Paris : vous avez dit que Cassidian développe un centre de formation. Je n’ai pas saisi si vous coopérez déjà avec des universités américaines ou si vous le prévoyez. Est-ce que vous regardez aussi du côté des universités européennes ? Est-ce que vous prévoyez de coopérer avec elles ? Vous avez dit que vous suiviez l’initiative de Monsieur Tunne Kelam au Parlement européen et le lancement du Centre européen de lutte contre la cybercriminalité d’Europol. Est-ce que vous suivez, de près ou de loin, l’actualité du Centre d’excellence de la cyberdéfense de l’Otan, notamment dans le domaine de la formation ?
31
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
Steve Purser L’Enisa est l’Agence européenne de sécurité des réseaux et de l’information. Il s’agit en grande partie d’un héritage, si vous voulez. Elle a été définie ainsi il y a longtemps. Le monde change. L’Enisa change avec lui. Je ne veux pas surestimer le côté réseau. Je pense qu’il est assez souvent surestimé et la sécurité est beaucoup plus complexe que cela. Je ne voudrais pas non plus surestimer le côté infrastructure. Nous parlons beaucoup de sécuriser l’infrastructure nationale, mais les termes de l’équation sont les suivants : avec une infrastructure parfaitement sécurisée et des applications non sécurisées, on est mort ! C’est aussi simple que cela. Si l’on exploite une application sécurisée sur une infrastructure non sécurisée, cela peut fonctionner. C’est assez surprenant, mais c’est ainsi. On peut répondre à de nombreuses exigences de sécurité au moyen de protocoles de chiffrement et autres. On ne peut pas traiter le problème de la disponibilité, qui est un problème-clé et qui motive la sécurité des infrastructures. Il est donc important de garder à l’esprit ce que nous faisons. Je pense que lorsque nous parlons de sécurité en infrastructure, nous parlons en fait de sécuriser l’ensemble. L’infrastructure plus les applications essentielles qui l’exploitent. Pour répondre à votre question sur les normes, je suis parfaitement d’accord avec vous, nous ne nous concentrons pas sur les firmes de télécommunications. Il existe une certaine inertie du système. Nous faisons beaucoup dans ce domaine, mais la stratégie numérique tient compte de tous les éléments. Nous disposons de beaucoup d’informations sur l’informatique en nuage (clouds), les initiatives du marché, etc. Il s’agit d’un champ d’application vraiment global et l’Enisa a une approche très globale de son action. Oui, je ne veux pas insister sur les télécommunications. Elles sont importantes, mais d’autres éléments le sont également. Je suis pour des normes minimales de sécurité partout. Maria José Granero Paris Pour la deuxième question : premièrement, le Centre de formation à la cybersécurité travaillera en partie avec des universités européennes. Nous nous concentrons sur la France, le Royaume-Uni et l’Allemagne. En fait, l’exemple que j’ai donné pour les États était un exemple que nous pourrions suivre. Il y a des initiatives au niveau européen et nous les suivons, bien entendu. Nous suivons le centre européen souverain de lutte contre la criminalité. Toutes nos activités ont lieu au niveau de la Commission européenne. Nous avons des contacts avec Madame Cecilia Malmström. Nous suivons chaque pays, parce que nous sommes conscients et convaincus que la législation va arriver. Elle doit être applicable. Il est important que l’industrie soit impliquée dès le début et non à la fin. C’est un avantage pour toutes les parties engagées dans le processus. Nous avons également des contacts avec l’Otan. Nous participons à la collecte de données de l’Enisa que mon collègue de Finmeccanica a expliquées il y a quelques mois. Nous essayons de jouer un rôle important dans le processus législatif en cours.
32
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Frank Franceus Comité belge permanent de contrôle des services de renseignement et de sécurité Il me semble, en réalité, que l’on a besoin de la défense parce que d’autres personnes fabriquent des armes. C’est comme une guerre. Il y a des fabricants. L’un des problèmes, à mon avis, provient de l’information. Comme M. de Benedictis l’a dit, sur le marché parallèle, il est possible d’acheter quantité d’outils employés par les amateurs, mais aussi parfois par les professionnels, et qui peuvent servir à nous attaquer. On peut considérer qu’il s’agit de technologies à double usage, tout comme les automobiles peuvent servir à attaquer. On pourrait dire qu’il s’agit d’une sorte de technologie à double usage. En réalité, vous savez que nous limitons l’achat des armes à feu et des protections physiques. Nous savons qu’il n’existe pas de magasins dans lesquels on peut acheter une arme à feu pour tuer des gens. Cependant, ne devrait-il pas y avoir des restrictions à la création et peut-être aussi à la prolifération de ce genre d’armes ? Il s’agit d’armes réelles. Devrait-il y avoir une réponse transnationale ? Je pense que cette question s’adresse aux industriels, parce qu’ils sont dans le secteur de la défense, bien sûr, mais aussi aux décideurs politiques. Steve Purser Cette remarque est intéressante. Cela me rappelle quelque chose que l’on appelait Satan. Satan était un outil d’analyse des réseaux, qui avait été commercialisé par un type du nom de Dan Farmer, je crois. Il s’agissait vraiment d’un très bon outil, que les administrateurs de réseau utilisaient couramment pour faire du bon travail. Néanmoins, il était très controversé, parce que, comme son nom le suggère, il pouvait être utilisé, et il l’était, pour des questions très délicates. Le problème, en réalité, vient de la technique en soi. Elle propose un tas d’outils authentiques qui, s’ils sont correctement employés, peuvent faire beaucoup de dégâts. L’une des premières questions à se poser dans ce cas est : où se situe la ligne rouge ? Comment savoir si un outil est nuisible ? Cela est extrêmement difficile à déterminer. Tout comme il est difficile de déterminer d’où proviennent les cyberattaques. Deuxièmement, je n’ai pas d’opinion arrêtée. L’idée est intéressante, mais je pense toujours au côté pratique et au respect des dispositions adoptées. Comment faire respecter un modèle comme celuici ? Nous vivons dans un environnement mondial et les régimes juridiques sont nationaux. Il est extrêmement difficile de maîtriser la situation dans un environnement transfrontalier. Je pense donc que l’idée est très intéressante, mais qu’elle nécessiterait une énorme collaboration pour aboutir. À mon avis, cela serait très difficile à réaliser et le problème est ailleurs. Nous avons toujours eu des outils tactiques efficaces. Ils sont assez faciles à écrire. Une bonne partie de l’Internet a été créée alors que l’on ne pensait pas à tout cela. Nous n’allons pas en revoir la conception, c’est un fait. Pour moi, l’essentiel est notre manière de réagir. Laissez-moi vous dire une chose que je n’ai pas encore dite aujourd’hui. Elle est d’une importance capitale. Depuis 15 ans que je suis officier principal
33
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
de la sécurité de l’information, les plus gros problèmes que je rencontre sont les problèmes économiques d’extensibilité des processus. Mon collègue a parlé du fait que nous avons tendance à mettre en place des solutions partielles. C’est très intéressant. Combien de personnes installent un système de détection des intrusions qui sonne l’alarme toute la journée et dont personne ne s’occupe ? Cela arrive très fréquemment. Les solutions doivent être extensibles et viables sur le plan économique, mais elles doivent aussi être mises en œuvre de bout en bout. Autrement, elles ne fonctionnent pas. Prenons l’exemple de la détection des intrusions, ce sera le dernier. Il ne s’agit pas uniquement de déclencher une alarme. Il faut ensuite la transmettre à l’administrateur du système, qui doit examiner le système, décider s’il y a des dégâts, transmettre l’information à l’officier de sécurité, etc. Le processus est complexe, mais s’il n’est pas correctement suivi, qu’est-ce que l’on obtient ? Une alarme qui sonne.
34 34
2 Réponses actuelles des États membres aux cybermenaces Patrick Pailloux
Directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi)
Sarah Lampert
Adjointe du coordinateur pour les questions "cyber", Foreign&Commonwealth Office
Martin Fleischer
Coordinateur de la cyberpolice internationale, ministère allemand des Affaires étrangères (Auswärtiges Amt)
Jean-Luc Auboin
Chef de secteur "Défense des réseaux", NDC (Network Defence Capabilities), DG SIC, secrétariat général du Conseil européen
Modérateur : François Géré
Professeur, chaire Castex de cyberstratégie
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
Patrick Pailloux Directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi) Amiral, Monsieur l’ambassadeur, professeur Géré, Mesdames et Messieurs, Tout d’abord, je tiens à remercier le directeur de l’IHEDN, l’amiral Richard Laborde, pour son invitation à m’exprimer devant vous ce matin sur nos réponses nationales au développement des cybermenaces. Mon intention ce matin n’est pas d’employer la langue de bois, mais de vous parler de manière très ouverte. Quelles sont nos réponses nationales aux cybermenaces ? Faisons un retour en arrière, au mois de juillet 2008. Un peu plus d’un an après les attaques en DDoS contre l’Estonie et quelques semaines avant les attaques en DDoS contre la Géorgie, le Livre blanc sur la défense et la sécurité nationale a été publié. Pour la première fois en France, la possibilité d’une cyberattaque massive des systèmes d’information français a été considérée comme hautement probable ; il a même été indiqué que cela pourrait arriver au cours des quinze prochaines années. Pour combattre cette menace grandissante, deux mesures principales ont été prises. La première a été la création d’une agence nationale. La seconde a été de développer un centre national pour détecter ces menaces. L’agence nationale a été conçue dans les mois qui ont suivi et créée en juillet 2009, en tant qu’Agence nationale de la sécurité des systèmes d’information, dont je suis le directeur général depuis lors. À cette époque, nous comptions environ 140 personnes et nous n’étions pas totalement préparés à affronter ce qui nous attendait. Six mois plus tard, en février 2010, l’Agence a publié la stratégie française pour la défense et la sécurité des systèmes d’information, établissant quatre grands objectifs qui sont toujours les nôtres. Notre premier objectif est d’être une puissance mondiale en matière de cyberdéfense. La nature même du cyberespace fait qu’aucun État ne peut réussir seul. Comme dans le cas des industries aéronautique et spatiale, la force vient de la coopération internationale. Je reviendrai dans quelques minutes à la signification concrète de la coopération internationale dans le domaine de la cybersécurité. Notre deuxième objectif est de renforcer les systèmes informatiques des entreprises qui sont vitales pour notre économie et notre pays. Cette idée est directement liée à la première partie de mon discours. L’objectif est d’aider ces entreprises à se protéger elles-mêmes des attaques contre leurs systèmes d’information, en particulier leurs infrastructures critiques, ainsi que des attaques qui visent à leur voler leur propriété intellectuelle. Dans ce but, un nouveau type de partenariat, particulier à chaque secteur d’activité – en France, nous en avons 12 – et reposant sur la confiance, doit être établi entre l’État et ces entreprises.
36
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Le troisième objectif est plus général. Il consiste à aider la société de l’information à se développer de manière sécurisée. La carte d’identité électronique entre dans ce cadre, ainsi que l’amélioration de la formation de nos ingénieurs en sécurité informatique, quel que soit leur domaine de spécialisation. Le dernier objectif de notre stratégie nationale, qui est plus traditionnel pour mon agence, est la protection de toutes nos informations souveraines, afin que les décisions prises par nos autorités, ainsi que leurs communications, restent confidentielles lorsque les autorités le décident. À dire vrai, j’étais assez content de cette stratégie et je pensais que nous atteindrions tous nos objectifs à l’issue d’un long trajet ardu, mais en ligne droite. Puis les choses ont changé. Le dernier jour de l’année 2010, nous avons découvert qu’une cyberattaque massive avait visé le ministère français de l’Économie et des Finances. Ce n’était pas une attaque en DDoS comme prévu, mais une grande opération d’espionnage. Il a fallu deux mois à mon équipe pour se débarrasser des attaquants. Cette expérience a profondément changé notre façon de régler les cybermenaces. Après les réponses techniques est venue la réponse politique. En février 2011, un an plus tard, l’Anssi est devenue l’autorité nationale de la défense de nos systèmes d’information. Cela signifie qu’en cas d’attaque, mon Agence est chargée d’organiser la riposte. En mai, quelques mois plus tard, le Conseil des ministres français a annoncé de nouvelles mesures pour renforcer notre résistance à ces attaques massives, telle que la mise en place d’une équipe d’intervention rapide pour agir sans délai aux côtés de l’entité attaquée. J’ai dit "massives" parce que ces attaques ont été massives. En effet, plus nous sommes devenus efficaces dans la détection des cyberattaques, plus nous avons découvert que l’échelle de ces attaques était bien supérieure à ce que nous pensions. De 150 personnes en 2009, notre agence devrait donc passer à 360 personnes d’ici à la fin de l’année 2013. Cet effort colossal décidé par le gouvernement français découle totalement de la nécessité de protéger nos administrations et les exploitants de nos infrastructures critiques de l’espionnage informatique et des autres menaces à venir. Les États doivent faire face à de nouveaux types de cybermenaces et ils doivent agir rapidement. Nous devons relever ce défi en étant meilleurs techniquement, bien entendu, mais aussi par notre organisation. Par exemple, en France, nous avons un plan d’urgence national, qui planifie notre réaction en cas de cyberattaque. Nous coopérons par ailleurs avec d’autres États membres. Mais nous ne ferons pas le poids face aux "très méchants" sans les compétences du secteur privé, sans un engagement politique au niveau
37
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
européen et sans l’aide des institutions européennes, aide que nous appelons de nos vœux. En effet, si les États sont, et restent, responsables de leur sécurité nationale, les questions de cybersécurité dépassent, par essence, les frontières des États. Les pays membres de l’UE, en particulier, ont compris que certaines questions d’intérêt général en Europe ne peuvent être traitées que par un travail commun coordonné au niveau de l’Union. Nous voyons par conséquent, qu’à la troisième thématique de notre colloque, "Une politique européenne est-elle possible ?", les États membres et l’UE ont répondu sans attendre, en s’engageant il y a plusieurs années à renforcer le niveau de préparation et la sécurité en Europe, même si, bien sûr, il reste beaucoup à faire. Avant tout, l’Europe s’est dotée d’un outil : l’Agence européenne de sécurité des réseaux et de l’information (Enisa), créée en 2004, dont Monsieur Steve Purser vous a présenté les missions. Centre d’expertise technique en Europe, l’Enisa a été mise en place avec les objectifs suivants : – donner à l’Europe une agence capable d’épauler les États membres et les institutions européennes pour concevoir des solutions qui répondent aux menaces pesant sur la sécurité des réseaux et de l’information ; – assister les États membres qui demandent une aide pour développer leurs capacités de cybersécurité, par exemple établir leur Cert national et gouvernemental ; – et soutenir la coopération européenne entre États membres, dans le domaine de gestion des cybercrises, par exemple. Les institutions de l’Union européenne et les États membres ont également convenu d’orientations stratégiques, telles que le renforcement de la sécurité de la protection des infrastructures d’information critiques (Piic) et en particulier des réseaux de télécommunication. Les engagements politiques ne suffisent pas. Néanmoins, des résultats concrets ont été obtenus : • Même si tous les États membres ne possèdent pas de Cert, environ 24 pays sur 27 en sont dotés et l’Enisa continue à promouvoir le développement des Cert en Europe ; • La coopération entre États membres a progressivement augmenté, en particulier dans le domaine de la gestion des crises, avec l’organisation en 2010 du premier exercice CyberEurope. Le prochain est programmé cette année ; • À l’occasion de la révision du règlement européen sur les télécommunications, un article spécifique consacré à la sécurité des réseaux et de l’information a été introduit, imposant aux opérateurs des télécommunications de signaler les incidents informatiques à leurs autorités nationales compétentes et d’appliquer des mesures de sécurité minimales ; • Enfin, en juin 2011, une équipe de préconfiguration a été lancée afin de mettre en place un Cert pour les institutions européennes, connu sous le nom de Cert-EU, dédié à la protection des systèmes d’information des institutions de l’UE. Ce Cert a été créé en quelques mois seulement. Imaginez la création d’un tel organisme en quelques mois seulement. Il s’agit d’un véritable exploit.
38
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Ces exemples montrent que l’Europe a déjà pris conscience de la nécessité de rehausser le niveau de sécurité de ses systèmes d’information. Malgré ces résultats concrets, les menaces ont continué à se développer dans le cyberespace et de nouveaux défis technologiques ont émergé, par exemple la sécurité des réseaux intelligents, nécessitant un engagement plus actif et plus ambitieux de l’UE. J’aimerais donc conclure mon intervention en vous exposant les priorités sur lesquelles l’Europe devrait se concentrer à mon avis à l’avenir. Ces priorités doivent se refléter dans la stratégie européenne de cybersécurité à laquelle la Commission travaille actuellement. Tout d’abord, la stratégie doit insister sur la nécessité cruciale d’accélérer et de renforcer le développement des capacités de cybersécurité au sein des États membres. La sécurité des systèmes d’information est une responsabilité partagée. Les systèmes critiques européens resteront vulnérables tant que l’Europe dans son ensemble ne sera pas capable d’assurer leur sécurité. Cela s’applique également, bien entendu, aux institutions européennes qui ont fait un grand pas en avant en décidant de créer leur propre Cert. Il faudrait également envisager d’adopter d’autres règlements, en élargissant le signalement des incidents aux secteurs extérieurs aux télécommunications. La directive européenne relative à la protection des infrastructures critiques doit également être étendue au secteur des technologies de l’information. Enfin, je n’insisterai jamais assez là-dessus, l’Europe doit concrètement, rapidement et efficacement s’engager à assurer la viabilité et le développement en Europe de secteurs hautement compétitifs des TIC et de la cybersécurité. Plus précisément, l’UE doit : • Soutenir le développement de l’industrie : – en reconnaissant l’importance stratégique de la R&D, en renforçant les mécanismes de soutien existants et élaborant de nouveaux mécanismes en ce sens, notamment des mécanismes financiers ; – en apportant son appui à l’industrie européenne par l’identification de défis technologiques concrets et stratégiques et la promotion de la mise en réseau des entreprises européennes afin de relever ces défis ; – en favorisant le développement de formations universitaires dans le domaine des TIC, des réseaux et de la sécurité de l’information, afin de fournir les compétences nécessaires à l’industrie et aux gouvernements ; – en encourageant et en soutenant le développement d’activités de production dans le domaine des TIC sur le territoire européen. • L’UE doit également promouvoir l’industrie européenne, tant en Europe que dans le monde : – en développant, par exemple, un répertoire européen des petites et moyennes entreprises dans le domaine des TIC/SNI, afin d’alimenter notre connaissance de l’offre industrielle en Europe ;
39
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
– Et finalement, en travaillant étroitement avec l’industrie européenne à la promotion de normes techniques européennes au niveau international.
Pour conclure, j’ai essayé de vous démontrer aujourd’hui que les réponses nationales et européennes sont complémentaires. Les efforts doivent venir à la fois des États membres, qui doivent renforcer leurs capacités nationales, et des États membres et des institutions européennes, qui doivent œuvrer ensemble au renforcement du niveau général de sécurité des systèmes d’information en Europe. Sarah Lampert Adjoint du coordinateur pour les questions "cyber", Foreign & Commonwealth Office Je suis ravie d’être ici et je remercie l’Institut d’avoir organisé cette occasion bienvenue pour réfléchir à ce que l’UE doit chercher à réaliser à travers sa nouvelle cyberstratégie. Le Royaume-Uni tient à jouer un rôle actif dans le processus stratégique. Nous voudrions voir l’Union européenne ajouter davantage de valeur dans tout le spectre des questions de cybersécurité et les aborder de manière cohérente et coordonnée, précisément comme nous essayons, en tant qu’État membre, de les aborder. Je travaille au sein de l’unité de cyberpolice, une unité relativement nouvelle qui a été récemment élargie au ministère des Affaires étrangères, à Londres. Il s’agit d’une unité conjointe, qui regroupe le ministère des Affaires étrangères et notre Cabinet Office. Il nous revient de mettre en forme la contribution du Royaume-Uni à la stratégie européenne, en travaillant étroitement avec d’autres ministères tels que celui de la Culture, des Médias et des Sports, qui donne le ton en matière de gouvernance de l’Internet, et notre ministère des Entreprises, de l’Innovation et des Compétences, parmi beaucoup d’autres. Aujourd’hui, on m’a demandé d’exposer les réponses actuelles des États membres aux cybermenaces. Je commencerai par évoquer les principales menaces qui pèsent sur nous, en particulier celles qui sont pertinentes, à notre avis, pour élaborer la stratégie de l’Union européenne. Je parlerai ensuite de quelques-unes de nos réponses et plans essentiels. Sans surprise, je pense que je vais traiter des mêmes thèmes que Patrick Pailloux, pas seulement du point de vue britannique, mais aussi du point de vue d’un ministère des Affaires étrangères. Avant cela, je veux d’abord souligner que l’un des messages-clés du Royaume-Uni à la fois sur le plan national et international – c’est ce qui est ressorti très nettement de la conférence de Londres sur le cyberespace en octobre dernier – est que nous ne devons pas envisager le cyberespace et notre cyberpolitique uniquement en lien avec les menaces et la sécurité. Il est vital que nous gardions à l’esprit les bénéfices économiques et sociaux dont le cyberespace nous fait profiter. Le gouvernement britannique considère que pour optimiser ces bénéfices, nous devons conserver l’innovation, la créativité et le libre flux des idées qui ont fait de l’Internet ce qu’il est aujourd’hui. Quelle que soit notre approche de la sécurité, elle doit également viser à préserver ces forces positives.
40
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Bien évidemment, nous ne nions pas que la lutte contre les menaces soit également de la plus haute importance. La défense nationale est la première responsabilité d’un gouvernement. L’un des défis intéressants avec le cybermonde est qu’il nous oblige à considérer la défense nationale d’une façon un peu différente. Comme l’a déclaré notre ministre des Forces armées lors de la récente conférence Shangri-La à Singapour, le cyberespace pourrait remettre en cause comme jamais nos idées conventionnelles sur la défense et notre classement des menaces et des réponses. Le cyberespace pourrait être utilisé par les États dans de futurs conflits en préparation ou parallèlement à une action militaire classique ou par un État habituellement plus faible en tant que moyen d’attaque asymétrique peu coûteux. Vous le savez, il peut également être très difficile de remonter à la source de telles attaques, même si nous nous améliorons. Les réseaux du gouvernement du Royaume-Uni, comme d’autres, sont déjà visés par des agences de renseignement étrangères ou par des groupes travaillant pour leur propre compte. L’une des grandes préoccupations lorsque l’on réfléchit à la gestion des incidents dans les cyberÉtats est de trouver des moyens qui ne font pas empirer la situation ou qui ne provoquent pas une réponse disproportionnée. À ce sujet, nous devons faire attention non seulement aux activités des États, mais également aux acteurs non étatiques, tels que les pirates et les criminels. Nos situations classiques de contrôle des armements dans le cas d’actes non étatiques peuvent produire des effets similaires aux actes étatiques et il est probable qu’elles échappent aux décisions de commandement et de contrôle au niveau étatique. L’une des manières importantes pour régler ce problème est d’élaborer des mesures de confiance dans le cyberespace pour améliorer la transparence et la confiance et fournir des mécanismes pour traiter ce genre d’incidents. Le Royaume-Uni est à la pointe dans ce domaine. Nous avons récemment organisé une conférence internationale avec des représentants du gouvernement, des entreprises et du monde universitaire et nous soutenons résolument les travaux qui seront entrepris l’été prochain au sein de l’OSCE, du Forum régional de l’Asean et du groupe d’experts du gouvernement des Nations unies. Cependant, le fait est que la cybersécurité n’est pas une question à prédominance militaire. Comme l’ont dit d’autres intervenants, c’est une question pour la société dans son ensemble. Les entreprises, y compris nos fournisseurs d’infrastructures critiques et de services, sont une cible pour toute une gamme de cyberattaques, qui va des espions aux criminels en passant par les pirates. Une récente enquête au Royaume-Uni a montré qu’une grande organisation sur sept a été piratée au cours de l’année passée, souvent au rythme d’une attaque par semaine. Les petites entreprises sont attaquées une fois par mois. Et cette estimation est probablement en dessous de la réalité, parce que les entreprises, même si elles savent qu’elles ont été attaquées, sont souvent réticentes à révéler leurs vulnérabilités. Les entreprises ont également un rôle essentiel à jouer dans notre réponse.
41
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
Il en va de même de nos citoyens. Nos citoyens doivent être protégés et se protéger. Le vol d’identité, l’escroquerie par hameçonnage et la fraude à la carte bancaire en ligne comptent parmi les délits qui se développent le plus au Royaume-Uni. Le vol de propriété intellectuelle à travers la cybercriminalité est une préoccupation majeure. Passons maintenant à la réponse du Royaume-Uni. Nous avons classé les cyberattaques comme des menaces de première catégorie pour notre sécurité nationale dans notre récent processus de stratégie de sécurité nationale. En dépit de notre situation financière tendue, nous avons réservé 650 millions de livres sterling au développement de notre cybersécurité au cours des quatre prochaines années. Nous avons publié une stratégie nationale de cybersécurité, qui vise à établir comment nous ferons cela de manière cohérente. Cette stratégie permettra aussi aux citoyens britanniques de nous demander des comptes. La première année s’est concentrée sur la mise en place de moyens pour résister aux attaques – ce que nous appelons notre résistance – ce qui inclut l’amélioration de notre capacité à détecter et combattre les menaces, la surveillance et le signalement des cyberdélits. Nous avons rassemblé l’expertise de différents ministères et de différentes autorités de police sous l’égide de l’Office of Cyber Security and Information Assurance (Bureau de cybersécurité et d’assurance de l’information) au sein du Cabinet Office, c’est-à-dire la partie du Cabinet Office qui forme une unité commune avec mon équipe au ministère des Affaires étrangères. La réponse de notre gouvernement a une caractéristique importante, qui a déjà été soulignée : elle implique de travailler en partenariat étroit avec l’industrie, les universitaires et la société civile en général. Notre stratégie nationale de cybersécurité, publiée en novembre 2011 établit quatre objectifs essentiels. Le premier est de faire du Royaume-Uni l’un des pays les plus sûrs pour faire des affaires. La majeure partie de l’infrastructure que nous devons protéger au Royaume-Uni appartient et est exploitée par le secteur privé. Nous sensibilisons les entreprises à la menace potentielle des cyberattaques pour la réputation, les revenus et la propriété intellectuelle. Nous travaillons d’autre part avec elles pour faciliter et encourager le partage des informations et des ressources, dans le but de nous faire une meilleure image des menaces communes et de les combattre collectivement. Nous croyons que c’est en encourageant les entreprises à partager des informations et en renforçant la confiance que nous obtiendrons des résultats et pas nécessairement par la législation. Un exemple du travail que nous avons fait avec le secteur privé – et je pense que c’est ce à quoi M. de Benedictis faisait référence dans sa présentation – est la plate-forme de cybersécurité public-privé avec cinq secteurs d’activité : la défense, les télécommunications, la finance, le pharmaceutique et l’énergie. Nous l’avons récemment mise au point pour échanger des informations utiles sur les cybermenaces et gérer la réponse aux cyberattaques.
42
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Nous visons maintenant à augmenter le niveau d’engagement. En fin de compte, nous voulons que l’industrie mène cette initiative. Nous affûtons également notre arsenal de répression de la cybercriminalité, à travers notre Serious Organised Crime Agency (Agence de lutte contre le crime organisé grave), Soca. Nous avons créé une cyberéquipe spéciale au département "Revenue and Customs". Et nous disposerons d’une unité de cybercriminalité dans notre nouvelle National Crime Agency (Agence nationale de lutte contre le crime), qui regroupera la Soca et la police. Notre deuxième objectif est de rendre le Royaume-Uni plus résistant dans son ensemble aux cyberattaques et de protéger plus efficacement nos intérêts dans le cyberespace. À ce propos, notre ministère de la Défense et le Government Communications Headquarters (GCHQ, Quartier général des communications du gouvernement) – qui fait partie de nos structures de renseignement – ont établi une unité "cyberespace" pour élaborer de nouvelles tactiques, de nouvelles techniques et de nouveaux plans. Notre Cyber Security Operations Centre (Centre des opérations de cybersécurité) relativement nouveau a mené des exercices pour tester et améliorer la capacité du Royaume-Uni à répondre à un incident de cybersécurité et a participé à un exercice commun entre l’Union européenne et les États-Unis. Pour les Jeux olympiques, nous avons créé une unité spéciale. Je me contenterai de dire que les Chinois ont subi 12 millions de cyberattaques pendant les Jeux olympiques de Pékin. Nous savons donc que nous devons être préparés. Notre troisième objectif de stratégie de sécurité nationale est de renforcer les connaissances, compétences et capacités de cybersécurité du Royaume-Uni. Je pense que cela se rapporte au problème de la formation, qui a, là encore, été mentionné dans la session précédente. Nous travaillons avec les industriels et les universitaires pour promouvoir les compétences et l’éducation. Nous soutenons une initiative intitulée "Cyber Security Challenge" ("Concourrez à la cybersécurité !") qui offre des bourses et des récompenses aux personnes qui orientent leur carrière vers le cyberespace. L’un des lauréats récents était postier. Il travaille maintenant comme spécialiste de la sécurité de l’information pour la poste britannique. Le GCHQ a attribué le statut de "centre d’excellence" à huit universités britanniques menant des recherches en matière de cybersécurité et d’autres universités pourront présenter leur candidature cet automne. Notre quatrième et dernier objectif est de contribuer à façonner un cyberespace ouvert, vivant et stable, que le grand public puisse utiliser sans danger et qui soutienne des sociétés ouvertes.
43
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
Il s’agit de nouveau d’éducation, en partie. Les gens doivent savoir comment se protéger en ligne. Le gouvernement travaille avec le secteur privé et les organismes de police à une initiative appelée Get Safe Online ("Soyez en sécurité en ligne"). Elle éduque les consommateurs britanniques et les petites entreprises et leur fournit des informations et des conseils sur la sécurité sur Internet. Elle est parrainée par un certain nombre de grandes organisations du secteur privé. Nous avons également soutenu une campagne qui encourage les gens à signaler la fraude en ligne. L’an dernier, nous avons ratifié la Convention de Budapest sur la cybercriminalité et nous travaillons dur pour persuader d’autres pays de la signer ou, au moins, de mettre en place des alternatives compatibles, telles que la loi type du Commonwealth. Je travaillerai avec des partenaires internationaux, des entreprises et la société civile pour faire avancer les thèmes soulevés à la conférence de Londres sur le cyberespace l’an dernier. Nous voulions construire un consensus sur l’avenir du cyberespace, en alimentant et en faisant croître les bénéfices économiques et sociaux du cyberespace au niveau mondial et en nous assurant que nous travaillons en partenariat pour affronter les menaces. Nous travaillons étroitement avec la Hongrie et la Corée du Sud en préparation de leurs conférences sur le cyberespace, qui seront des étapes importantes dans le vaste programme international. Je terminerai en insistant sur le fait que la coopération internationale – bien que j’aie beaucoup parlé du Royaume-Uni – est au cœur de l’approche du cyberespace au Royaume-Uni. Comme d’autres intervenants l’ont dit, le cyberespace ne connaît pas de frontières. Ceux qui menacent notre sécurité dans le cyberespace ne sont pas limités par la géographie. Cela dit et comme je l’ai dit au début, nous devons nous assurer que notre approche de protection préserve autant que possible les bénéfices du cyberespace et de l’Internet et ne nous freine pas par de la bureaucratie et des négociations internationales stériles. Le cyberespace est en perpétuelle évolution. Les menaces aussi. Notre réponse doit être habile et créative. Je dois reconnaître le rôle crucial du secteur privé et de chaque citoyen, ainsi que des gouvernements. En tant que gouvernements, nous devons travailler ensemble pour partager les meilleures pratiques et fournir le meilleur cadre de réussite. Nous sommes impatients de faire cela dans le cadre de l’UE et au niveau national.
44
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Martin Fleischer Coordinateur de la cyberpolice internationale, ministère allemand des Affaires étrangères (Auswärtiges Amt) Pour commencer, je dois vous dire que mon intervention reprend celle qu’un de mes collègues du ministère de l’Intérieur avait préparée et qu’il m’a proposé de porter à votre connaissance. À la base, la cybersécurité nationale est du ressort du ministère de l’Intérieur. Nous avons une séparation assez stricte entre la sécurité extérieure et la sécurité intérieure en Allemagne, qui remonte à notre constitution. Je vais rapidement présenter la stratégie de cybersécurité nationale de l’Allemagne, qui a été adoptée l’an dernier, en février, par le gouvernement fédéral. L’approche de notre gouvernement n’est pas très différente de celle de la France et du Royaume-Uni. Mais je vais brièvement indiquer ce qu’il y a de nouveau depuis l’an dernier. Nous avons créé un Conseil de cybersécurité nationale. C’est le nouvel organe politique au sein du gouvernement. Nous avons créé un Centre national de réponse aux cyberattaques, qui n’est pas entièrement nouveau, un peu comme en France, où un petit organe s’est développé et a pris plus de responsabilités. La direction est en charge de la protection des infrastructures critiques, à la fois l’infrastructure des technologies de l’information (TI) et d’autres infrastructures qui utilisent les TI. De nombreux systèmes utilisent les TI de nos jours, même un simple réveil. Commençons par le Centre national de réponse aux cyberattaques. Le cœur en est le BSI, qui a déjà été mentionné, c’est-à-dire le Bureau fédéral de la sécurité nationale, qui s’occupe de la cybersécurité depuis quelques années. L’an dernier, nous avons en quelque sorte ajouté un étage à ce BSI ; maintenant, nous avons un BSI de luxe. Il s’agit davantage d’une coopération. C’est un véritable centre en dur, qui coopère avec le Bundesamt für Verfassungsschutz – le service du renseignement intérieur – et le Bureau fédéral de gestion des catastrophes et de protection de la population. Ils constituent le noyau dur. Ils sont physiquement présents en permanence. Il y a deux cercles autour d’eux, formés d’autres agences ayant des représentants permanents dans ce centre. Le BND, comme vous le savez, est notre service fédéral de renseignement : forces armées, police fédérale, etc. C’est le centre national de réponse aux cyberattaques qui assure les interventions sur le terrain. Ensuite, nous avons un organisme politique. Nous avons créé le Conseil de cybersécurité nationale, qui réunit les secrétaires d’États, c’est-à-dire les ministres délégués, sous la présidence du ministre de l’Intérieur, qui est une femme, l’un des très rares dirigeants féminins dans ce secteur. Il s’agit d’un organisme qui ne s’occupe pas des affaires au quotidien, mais qui mène les discussions politiques et stratégiques et établit les objectifs.
45
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
Le ministère des Affaires étrangères siège au sein de ce Conseil. Nous avons également les autres aspects du cyberespace, soulignés par Sarah Lampert : les avantages sociaux, les droits de l’homme, etc., qui sont devenus une nouvelle dimension de la politique étrangère et de la politique de sécurité. Je vais peut-être me contenter de mentionner deux principaux champs des points stratégiques traités par le Conseil de cybersécurité nationale. L’un d’eux est la politique étrangère en matière de cyberespace. L’autre est la protection des infrastructures critiques. Il s’agit d’une question fondamentale dans les pays de l’UE. Aux États-Unis, elle fait débat. Est-ce que cela peut fonctionner sur la base du volontariat ou non ? Si une petite ou moyenne entreprise a un problème, que fait-elle ? Est-ce qu’elle appelle quelqu’un pour le régler et en reste là ou est-ce qu’elle le signale aux autres pour que les autres reçoivent de l’aide et anticipent ce problème ? Cette question est épineuse. Si vous saviez que votre boutique en ligne préférée a été infectée par un logiciel malveillant, est-ce que vous continueriez à vous y rendre ? Vous pourriez avoir peur de passer commande sur cette page d’accueil. C’est donc un problème pour l’image de l’entreprise. Nous travaillons beaucoup sur ces questions en Allemagne. Nous essayons de le faire sans introduire d’obligation légale. Nous ne sommes pas certains que cela fonctionnera. On compare souvent la cybersécurité à la santé publique. Si des maladies infectieuses existent dans un pays, on doit les signaler au jardin d’enfants. Si un enfant a une maladie contagieuse, elle doit être signalée aux autorités. Avons-nous besoin d’une telle loi pour la cybersécurité ou pouvons-nous passer par une action volontaire ou disons, semi-volontaire ? Vous voyez qui est responsable de toutes ces structures. Nous avons un gouvernement fédéral, des États fédérés. L’Allemagne est une République fédérale, beaucoup moins centralisée que la France, par exemple. Nous avons des autorités locales, des exploitants d’infrastructures critiques d’information et nous avons des citoyens. La question est de savoir si nous pouvons créer une culture de la cybersécurité au sein de laquelle on signale, on partage et l’on accepte l’aide sur une base volontaire. L’utilisation d’instruments pour traiter cette question reste ouverte à l’heure actuelle. Pour ce qui concerne la coopération internationale, nous avons besoin de coopération entre les États. Nous avons besoin de mesures de confiance. J’ai déjà mentionné notre stratégie. Je vais mentionner quelques principes de notre politique étrangère de cyberespace ou de notre politique de cyberespace nationale, ce qui revient au même. Ensuite, je n’aurai pas le temps de parler de tous les forums internationaux dans lesquels les questions de cyberespace sont actuellement traitées, mais tous ont besoin d’avoir une position arrêtée. Si vous êtes un gouvernement, vous avez un représentant dans les organisations internationales. Vous devez vous assurer que tous vos représentants parlent d’une même voix. Outre les forums internationaux, les dialogues bilatéraux entre pays existent entre des pays ayant des idées divergentes. Nous avons récemment dialogué avec la Russie et la Chine et les conférences informelles sont très importantes. La nécessité d’une politique étrangère cohérente de cyberespace est déjà consacrée par la stratégie de cyberespace.
46
4e Séminaire IHEDN de Bruxelles 28 juin 2012
On dit souvent que la politique étrangère allemande se fonde sur des valeurs et des intérêts. Je pense que dans le cyberespace, elles sont très proches. Nous avons ce que j’appelle souvent différentes dimensions ou différents thèmes. La politique étrangère de cyberespace a trois grands axes : la dimension sécurité, dont nous parlons, mais aussi le travail international que j’ai évoqué. Le troisième axe prend appui sur les droits de l’homme : liberté d’opinion et liberté des informations existantes, qui sont étroitement liées, mais ne sont pas identiques. Par exemple, en Chine, où j’ai vécu quelques années, la liberté d’opinion est bien moins limitée que ce que l’on dit souvent. On peut dire presque tout en Chine. Mais la liberté d’information est très fortement restreinte. Google n’existe pas. YouTube n’existe pas. Facebook n’existe pas. Il n’y a rien ! Le respect de la vie privée est une question très importante sur laquelle l’Allemagne insiste beaucoup au sein des instances européennes. L’Europe et les États-Unis ont des approches légèrement différentes sur l’équilibre entre la sécurité et les données qui étaient naguère personnelles. La dimension économique est une grande question en soi. La dimension économique, pour ce qui se rapporte à l’industrie – comme le rappelait mon collègue français – avec ce que l’on caractérise par l’expression "fracture numérique", est un autre grand champ d’action qui nous attend. Je ne donnerai que quelques exemples des organisations internationales qui travaillent à ces questions. L’OSCE a été mentionnée et j’ai été chargé de travailler à un ensemble de mesures de confiance régionales entre États. Parallèlement, aux Nations unies, nous avons un groupe d’experts gouvernementaux. L’assemblée générale a décidé de créer un tel groupe et le secrétaire général des Nations unies a fait appel à des experts de différents pays. Ces experts se demandent ce que les États peuvent faire et ce que signifie "mesure de confiance". Transparence, voies de communication… Que faire quand on a un problème et que l’on croit qu’il peut venir d’un autre pays ? Peut-on prendre son téléphone, appeler et dire « Écoutez, nous avons quelque chose qui vient de chez vous. Pouvez-vous nous dire ce que c’est ? » Facile à dire, difficile à faire. Il serait pourtant particulièrement important de parvenir à ce type d’échanges. Malheureusement, la France ou le Royaume-Uni ne soutiendraient probablement pas un texte comportant la possibilité d’avoir de tels échanges. La véritable question est donc de savoir comment travailler davantage avec les États plus lointains et avec les États qui ont d’autres priorités. Nous avons un problème avec la Russie, qui est un refuge pour le crime organisé. Je ne dis pas que le gouvernement ne nous parle pas, mais que le gouvernement ne fait pas assez pour empêcher des personnes sur son territoire de nous attaquer. Nous avons le Forum international indien.
47
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
Les pays ont des valeurs différentes. Nous sommes favorables à plus de cybersécurité, mais nous ne sommes pas d’accord d’un pays à l’autre. Nous l’avons découvert par exemple avec la manière dont les Chinois traitent la cybersécurité. Certains pays diraient : « Oh, vous voulez plus de sécurité ? Pas de problème. Le gouvernement doit contrôler chacune de nos communications par sécurité. » Je ne suis pas sûr que les Européens veuillent de cette approche. Nous avons donc un débat pratique sur la politique de sécurité, mais nous en avons également un sur les valeurs. Je pourrais continuer longtemps. En plus de cela, nous avons ce que j’appelle la voie de discussion Est-Ouest. Nous avons une voie de discussion Nord-Sud sur la gouvernance de l’Internet. Qui dirigera l’Internet ? Les Nations unies doivent-elles le faire ? Cela a l’air démocratique. Mais ces instances seraient-elles démocratiques ? Seraient-elles efficaces ? Toutes ces questions sont fâcheuses. Que peut faire l’UE ? C’est une chose à laquelle l’UE travaille encore. Les États membres y travaillent. La toute première chose que l’UE doit faire est de mieux organiser ses structures. Nous devons être très francs sur ce point. Nous avons l’impression que certaines données, quand elles sont chez nous, sont bien protégées. Quand nous les envoyons à Bruxelles, nous ne sommes pas sûrs de leur sécurité. Ou bien nous avons des raisons de croire qu’il serait plus facile de les espionner là-bas que chez nous. Il s’agit là d’une priorité à laquelle l’UE devra s’atteler. Ensuite, nous pensons également que la sécurité informatique est une valeur nationale et qu’elle le restera probablement dans un futur proche. Elle n’est pas en contradiction avec plus de coopération et d’harmonisation européenne, comme d’autres intervenants l’ont souligné. La solidité d’une chaîne se mesure à celle de son maillon le plus faible. Nous avons donc besoin d’une coopération très solide en Europe, non seulement pour la sécurité, mais aussi pour ce que j’ai mentionné précédemment, lorsque nous dialoguons, lorsque nous coopérons avec des partenaires en dehors de l’UE et lorsque nous nous positionnons dans les forums internationaux. Nous avons encore beaucoup de travail devant nous à réaliser. Un travail que l’UE commence à peine d’entreprendre et que nous pensons nécessaire, par exemple sur la stratégie de sécurité et sur la stratégie prioritaire du cyberespace. Beaucoup de travail a été réalisé sur le contenu. Les procédures, les organismes doivent être rationalisés dans l’UE pour savoir qui est responsable de quoi et à quels moments les pays membres peuvent discuter de quels sujets. Je pense que nous n’en sommes qu’aux prémices d’un processus sur ce sujet. L’an dernier, nous avons tenu une conférence à Londres. L’Allemagne a également facilité ce processus de discussion internationale par quelques conférences. Une conférence sur la cybersécurité a eu lieu en décembre dernier à Berlin. Nous avons discuté avec les Chinois et les Américains et les intervenants venaient de tous les horizons y compris de la société civile. Nous allons tenir une deuxième conférence sur le cyberespace cette année à Berlin, en septembre, non pas sur la cybersécurité, mais sur sa deuxième dimension, celle des droits de l’homme.
48
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Jean-Luc Auboin Chef de secteur "Capacité de défense des réseaux", NDC (Network Defence Capabilities), DG SIC, secrétariat général du Conseil européen Pendant vingt ans j’ai travaillé à l’Otan et j’ai décidé il y a deux ans de passer au Conseil européen. Entre 2002 et 2008, j’étais le directeur de projet du NCIRC IOC (capacité Otan de réaction aux incidents informatiques, capacité opérationnelle initiale), dont le développement a été une réussite avec une mise en œuvre opérée en moins de cinq ans. De 2008 à 2010, j’ai été le directeur du projet de conception de la capacité opérationnelle totale (FOC) du NCIRC, sur laquelle la mise en œuvre s’appuie actuellement. En 2010, j’ai décidé de travailler au Conseil européen pour relever un nouveau défi dans un nouvel environnement, mais dans le même domaine. Je suis maintenant chef du secteur "capacité de défense des réseaux", responsable de la cyberdéfense. Je vais vous donner des informations sur l’état de la capacité de cyberdéfense du point de vue du Conseil européen et de l’UE, puisque nous travaillons également en étroite relation avec d’autres institutions de l’UE. Voici maintenant quel est le plan de mon exposé : • Définitions du cyberespace, des cyberattaques et de la cyberdéfense ; • Brève présentation de l’organisation de la capacité de défense des réseaux du Conseil européen, incluant la stratégie générale de développement déjà élaborée et approuvée ; • Principes-clés d’une progression réussie. Commençons par la définition du cyberespace : il s’agit de « l’ensemble mondial des infrastructures interdépendantes de traitement et d’échange des informations, qui inclut également l’utilisateur final ». Cette définition est importante aussi bien d’un point de vue social que professionnel ; en effet, l’utilisateur final est impliqué dans le cyberespace, soit comme victime, soit comme attaquant, indépendamment de la technologie informatique mise en œuvre. Il existe de nombreuses sortes de cyberattaques et nous essayons désormais de les classer en fonction des attaquants et des profils de cibles, afin d’améliorer nos défenses. Sur un plan général, il y a le cyberhacktivisme, la cybercriminalité, le cyberterrorisme, le cyberespionnage, la cybercrise et la cyberguerre. Le Conseil européen doit s’intéresser à tous ces types de cyberattaque, car il est, au même titre que l’Otan, une importante cible politique, qui doit protéger aussi bien ses intérêts civils que militaires, ce qui va des systèmes non classifiés reliés à Internet jusqu’aux systèmes à classification élevée. Pour ce qui concerne les contre-mesures de sécurité spécifiques, nous devons rationaliser toute la terminologie. Nous avons pour ce faire à notre disposition la terminologie de défense des réseaux ainsi que celle de la cyberdéfense. Les deux ont au fond la même signification et la même définition : « l’application de toutes les mesures de sécurité techniques et législatives pour protéger le cyberespace et, plus précisément, ses éléments critiques d’infrastructure en détectant les incidents de sécurité et en y réagissant. »
49
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
Notre équipe de cyberdéfense est directement impliquée, sur la base de cette définition, au niveau technique. Mais le bureau de sécurité et les conseillers juridiques sont tout autant impliqués, sur cette même définition, pour ce qui est des poursuites et de l’attribution des attaques éventuelles. C’est pourquoi ce domaine est délicat. Il n’y a pas que les personnels de la cyberdéfense qui sont impliqués en liaison avec les autres équipes techniques. Il ne s’agit pas d’une petite équipe, mais d’une équipe virtuelle combinée qui prend en charge tout le processus de gestion des incidents de sécurité. L’organisation au sein du Conseil est simple : au sommet, un comité directeur de la capacité de défense des réseaux (NDC), comme à l’Otan, et le Conseil de gestion de la cyberdéfense, qui définit en tant que direction supérieure les grandes orientations, et suit les progrès. Au-dessous se trouve un centre de coordination de la NDC : M. Bernd Schomburg en est responsable. Il est le point de contact focal, qui assure la liaison avec les autres institutions et avec les États membres. À ce poste, il gère le carnet d’adresses de la NDC pour les relations externes. Ensuite, il y a le centre des opérations de la NDC, le véritable centre des opérations de sécurité, l’équivalent du centre des opérations du réseau pour la gestion centralisée du réseau. En 2010, le comité directeur a accepté le mandat de la NDC du Conseil européen. Dans le cadre de ce mandat, la mission principale de la NDC est de protéger les infrastructures du Conseil européen, notamment tous les systèmes de communication et d’information sensibles et classifiés, contre toutes les formes d’attaques techniques, par une approche itérative et une technologie de pointe. Sa deuxième mission principale consiste à définir les procédures de gestion des incidents de sécurité : cela a été fait en 2011, à travers une modélisation et des essais. Les procédures sont à présent approuvées et utilisées pour assurer la gestion des incidents en coordination avec le bureau de sécurité et les autres équipes techniques responsables de la gestion du système des différentes infrastructures. Les procédures sont également affinées à partir d’analyses de cas avec toutes les équipes concernées. La troisième grande mission dans le cadre de ce processus de protection est le signalement. Nous utilisons le mécanisme d’alerte d’incident de sécurité réseau (Nsiam en abrégé). Ce format de message officiel a été approuvé par tous les pays il y a quelques années, pour échanger des informations essentielles au niveau des gouvernements, tous les mois et au besoin, en fonction des incidents rencontrés. Tout le reste est plus technique. Nous tenons à jour les bases de données centrales d’incidents, menaces et vulnérabilités. Parallèlement, nous avons commencé à mettre en œuvre la gestion de la sécurité et à effectuer des évaluations de vulnérabilité. Il est effectivement essentiel de connaître les infrastructures critiques à protéger, ainsi que leur configuration de sécurité. Dans ce but, nous balayons régulièrement les réseaux classifiés et non classifiés. Simultanément, nous définissons les procédures spécifiques à suivre. Pour coordonner l’évolution des systèmes, nous avons également mis sur pied des groupes de travail qui gèrent les correctifs.
50
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Pour ce qui est des installations techniques en elles-mêmes, nous avons mis en œuvre une capacité centrale, jusqu’à deux niveaux de classification de sécurité, actuellement. Comme le concept défini à l’Otan, nous en avons un pour les systèmes non classifiés reliés à l’Internet et un pour les systèmes à classification élevée. Les deux sont plus ou moins identiques, basés presque sur la même technologie et exploités par le même personnel. De cette manière, nous sommes flexibles, nous optimisons les ressources et gagnons en expérience dans les différents environnements. Enfin, nous faisons la liaison avec les autorités de sécurité technique d’autres institutions et pays membres de l’UE. L’an dernier, par exemple, avec la Commission européenne, nous avons travaillé étroitement avec l’équipe de préconfiguration du Cert-EU pour l’aider à démarrer et se coordonner au niveau général avec toutes les institutions de l’UE. En ce qui concerne les documents de référence, en plus des procédures de gestion des incidents et du Nsiam déjà abordés, la nouveauté est la politique et les consignes spécifiques d’appui de la capacité de défense des réseaux (NDC) qui ont été approuvées en avril cette année par les États membres au niveau du comité de sécurité du Conseil européen. Il s’agit d’un document assez détaillé dont la pertinence est directement effective. Les références internes spécifiques sont le plan de développement du programme de la NDC défini en 2010 et approuvé en 2011 et la notification de protection des données pour la cyberdéfense signée au niveau du Conseil européen en 2011. Enfin, il existe un accord de niveau de service entre le Conseil européen et le Service européen pour l’action extérieure (SEAE) afin de fournir des services de cyberdéfense protégeant efficacement les systèmes classifiés développés par le Conseil européen avant la création du SEAE. Le cadre global de développement de la capacité couvre les politiques mises en œuvre, les procédures, l’organisation et la technologie. Le suivi des technologies est particulièrement important pour obtenir des outils efficaces et à jour. Nous essayons donc d’avoir un ensemble commun de produits et d’applications en fonction des disponibilités du marché. Mais ce domaine exige des articles particuliers, que ne proposent généralement pas les fabricants de l’UE. Je pense à ce sujet qu’il serait utile de bénéficier d’une réelle coopération industrielle européenne dans ce domaine, en particulier entre les grandes entreprises internationales. Lorsque l’on veut mettre en œuvre quelque chose, les processus d’acquisition classiques sont par nature difficiles à suivre, et ils le sont plus encore au sein des organisations internationales. Il serait donc avantageux que les partenaires industriels coopèrent étroitement pour proposer des facilités, des services et des pratiques durables, faciles à gérer. La définition générale américaine de US Cert, l’organisation américaine bien connue qui a été la première à travailler dans le champ de la cybersécurité, a identifié les services réactifs, les services proactifs et les services de gestion de la qualité de sécurité. Ces derniers sont assez classiques et généraux, alors que les deux premiers types sont vraiment ceux à développer dans le cadre de la cyberdéfense.
51
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
Passons maintenant aux contrôles de sécurité à appliquer aux systèmes de communication et d’information (CIS) et de technologie de l’information (TI) pour une cyberdéfense efficace. Le Centre des études stratégiques et internationales (CSIS, Centre for Strategic and International Studies américain) et le Centre de protection de l’infrastructure nationale (Centre for Protection of National Infrastructure) britanniques recommandent de dresser d’abord un inventaire des actifs, puis de définir des contrôles de sécurité appropriés. C’est ce que nous avons commencé de faire au sein du Conseil européen, en coordination avec les autres équipes, les comités de gestion de la configuration, les responsables de système et les autorités d’accréditation. L’étendue du NDC est considérable. Elle couvre à la fois les systèmes du Conseil européen et les systèmes classifiés du SEAE. Son rôle important en tant que centre des opérations de sécurité chargé de la protection des infrastructures réelles, est d’identifier tout d’abord, avec les hauts responsables, les atouts les plus essentiels à protéger en priorité, par exemple le système relié à Internet ou les systèmes classifiés. Son champ d’application est si vaste que l’on ne peut pas protéger en profondeur tous les systèmes en parallèle. Le processus est itératif et reproductible, mais les bases au moins doivent être bien en place. Nous sommes également en liens étroits avec la gestion des systèmes d’information et la gestion des systèmes de communication afin d’être complémentaires, sans chevauchement ni lacune. Pour ce qui concerne le processus général d’exploitation et de prise de décision commerciale, je dois vous indiquer que j’ai été, dans une précédente fonction, responsable en France du développement du Système informatique de commandement français (SICF). La cyberdéfense est comme un "système C2", même un "système C4" pour "commandement, contrôle, consultation et communication". Pour la cyberdéfense en particulier, ce sera le C5. Pour soutenir le processus décisionnel, il faut disposer d’informations recueillies par des capteurs spécifiques situés aux meilleurs emplacements des infrastructures. Ils sont vos yeux et plus vous en installez, plus vous voyez, plus vous pourrez corréler, analyser, décider et améliorer vos défenses, ce qui signifie assurer une gestion proactive des incidents. Passons maintenant aux principales catégories d’attaques et d’incidents liés. L’ingénierie sociale est la plupart du temps liée aux faibles attaques, mais elle peut également être utilisée dans les attaques avancées de menace persistante lancées par des attaquants compétents et bien organisés. Cela souligne le fait que toutes les organisations démocratiques sont trop ouvertes et constituent donc des cibles faciles. Les autres types d’attaques auxquels nous sommes confrontés comme d’autres organisations équivalentes sont le refus de service (DoS), l’infiltration de logiciel malveillant, l’hameçonnage, les abus, les fuites de données et les réseaux zombies. Signalons ici un exemple de coordination avec les autres institutions, y compris le Cert-EU : en janvier de cette année, nous nous sommes coordonnés pour nous défendre contre des attaques anonymes en DoS et cela a bien fonctionné. En ce qui concerne la collaboration et l’échange d’informations, le Conseil européen partage régulièrement des informations à différents niveaux avec les pays membres, les institutions de l’UE et d’autres partenaires de confiance, dont l’Otan, à travers des comptes rendus et des réunions. Notre centre de coordination s’occupe de l’établissement de ces cercles de confiance. Jusqu’à présent,
52
4e Séminaire IHEDN de Bruxelles 28 juin 2012
nous fournissons plus d’informations que nous n’en obtenons pour prévenir les incidents ou fournir une analyse critique. Le principe général qui nous anime est qu’il est essentiel d’avoir, dans chaque organisation, un point de contact focal identifié à la fois au niveau de la coordination et au niveau du centre technique pour la collaboration. Leur désignation est la prérogative de chaque organisation, mais il est de la plus haute importance qu’ils soient inscrits dans des carnets d’adresses de réseau bien établis. Pour ce qui est du cadre de collaboration au sein de l’UE et du rôle spécifique du Cert-EU. Il est clair que le rôle du Cert-EU est d’assurer la coordination générale et d’améliorer la posture de sécurité globale de toutes les institutions, tandis que les organisations existantes, telles que la Commission européenne et les centres des opérations de sécurité du Conseil sont chargés de la protection plus approfondie de leurs propres infrastructures. En conclusion, les principes-clés de la réussite sont une coordination étroite au niveau organisationnel et technique et une normalisation des processus et technologies particuliers, notamment des outils open source, bien pris en charge, qui tous doivent être conformes aux politiques obligatoires, comme la série ISO 27000, et compatibles entre eux pour une intégration sans heurt. Tous ces principes valent pour les systèmes civils et militaires, classifiés et non classifiés. Avec le souhait que l’industrie européenne puisse fournir les composants essentiels de ce puzzle mondial de la cyberdéfense.
Questions et réponses Comment voyez-vous la collaboration avec les agences de sécurité nationale qui sont vos partenaires dans d’autres pays européens ? Ici, vous représentez l’agence française, avec le BSI en Allemagne, l’ESK au Royaume-Uni et toutes les autres agences nationales en Europe. Comment voyez-vous cette collaboration ? Patrick Pailloux Il s’agit d’une question essentielle, pour nous tous. Pour tous les agents comme moi, la coopération internationale est un grand défi, parce que seuls dans notre pays, nous ne pouvons rien faire. L’Internet n’a pas de limite, c’est une évidence. Nous avons deux grandes stratégies dans ce domaine. Avant tout, il est capital que nous fassions tous partie de réseaux pour être en mesure de joindre tout le monde partout, à chaque fois que nous en avons besoin. Nous devons pouvoir joindre n’importe quel pays si nous avons un incident, quelle qu’en soit l’origine. Il nous faut pour cela être en contact. Nous devons avoir des Cert partout et nous devons avoir la capacité de collaborer et d’échanger des informations. C’est la première étape stratégique.
53
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
La seconde étape stratégique, qui est un sujet est plus sensible, concerne l’échange d’informations. Cet échange est bien sûr très difficile, parce que par exemple, il peut inclure des aspects de renseignement ou des informations classifiées. Il est très important d’établir une solide coopération entre alliés afin de pouvoir développer notre propre capacité de détection et d’atténuation des attaques cachées les plus délicates et sensibles. Il existe vraiment deux manières de coopérer. L’Europe est en quelque sorte notre pays. Nous avons donc des relations solides, très solides avec nos alliés en Europe. Kai-Helin kaldas, représentante estonienne à l’UE Nous avons évoqué le fait que, dans le cyberespace, la force de la chaîne dépend de son maillon le plus faible, et nous savons que tous les États membres n’ont pas le même niveau de préparation. De nombreux États n’ont même pas de stratégies de cybersécurité. Comment pouvons-nous conduire les États membres à s’améliorer dans ce domaine ? Par ailleurs, pour ce qui concerne les utilisateurs finaux, puisque nous avons vu qu’ils étaient impliqués dans le cyberespace, comment pouvons-nous mieux sensibiliser les citoyens, et non seulement les sensibiliser, mais insister sur la responsabilité de tous les utilisateurs de l’Internet ? Jean-Luc Auboin Premièrement : le Conseil européen informe régulièrement les États membres sur les incidents. Pour l’instant, seuls quelques États nous répondent pour consolider une analyse et une réponse mondiale. Mais tous comprennent de plus en plus à quel point cela peut être intéressant et avantageux de s’engager dans cette direction. Il y a une vraie motivation d’amélioration des aptitudes et des capacités dans le domaine du cyberespace. Ensuite, afin d’améliorer la sensibilisation à la sécurité des utilisateurs, nous faisons de vraies démonstrations sur les différentes catégories d’attaques, surtout celles liées aux systèmes Internet. Lors de ces démonstrations, nous utilisons des scénarios qui pourraient se dérouler à la maison. En fin janvier par exemple, lors de la Journée européenne de protection des données, par exemple, nous avons présenté des réseaux zombies et des attaques d’hameçonnage afin de souligner la participation et la responsabilité des utilisateurs au sein du cyberespace. Sarah Lampert Je débute dans ce domaine, donc je vais répondre à des questions, mais je vais aussi en poser quelques-unes. Je comprends complètement cette idée qui voudrait que tous les États membres soient suffisamment sécurisés afin qu’ils puissent être protégés tous ensemble. Est-ce que ces États membres ne sont pas au niveau parce qu’ils n’ont pas été attaqués, donc ils se désintéressent de
54
4e Séminaire IHEDN de Bruxelles 28 juin 2012
la question ? Ou bien pensent-ils qu’ils ne vont pas être attaqués ? Ou bien est-ce la marque d’un manque de capacités ? Voilà les premières questions à se poser, bien que je ne connaisse pas les réponses, ni ne sache quels États membres sont particulièrement faibles dans ce domaine. Je dirais simplement que, du point de vue du gouvernement britannique, nous partageons beaucoup d’informations avec d’autres États membres à tous les niveaux, en parlant de nos stratégies nationales de cybersécurité, en les partageant, en apprenant de celles des autres et en coopérant de manière très concrète. En ce qui concerne la sensibilisation des utilisateurs finaux, nous avons nos programmes nationaux dont j’ai parlé. C’est vrai que c’est parfois difficile – je ne fais moi-même pas toujours ce qu’il faut – et je suis sûre que d’autres personnes dans cette salle ne font pas tout ce qu’il faut pour protéger leurs ordinateurs. Donc, ça va évidemment être un travail éducatif de longue haleine qu’il faut sans doute consentir à l’échelle nationale et internationale. Il n’y a donc pas de solutions faciles. François Géré Puisque vous avez tous les deux insisté sur les mesures de confiance (MDC), j’aimerais que nous revenions sur ce sujet. La possibilité d’interdire certains appareils qui pourraient s’apparenter à des armes a été évoquée. J’ai l’impression qu’il y a de bonnes raisons d’aller dans cette direction, mais en même temps, cela semble difficile à appliquer et à mettre en place. Et ma question est donc plus ou moins celle-ci : nous pouvons prendre en compte les mesures de confiance, mais est-ce suffisant ? Et que pouvons-nous faire si le système lui-même s’effondre, et que nous avons des accords de confiance avec des personnes et des États qui, en fin de compte, ne sont pas fidèles à leurs engagements ? Martin Fleischer Avant de répondre à cette question, j’ai une remarque personnelle qui est liée à la question précédente. Je remarque, mais c’est un avis personnel, qu’il y a un écart entre la surrégulation des moyens traditionnels de communication et l’absence de régulation de l’Internet. Ayant été ingénieur électrotechnique, et même étant enfant quand je construisais des radios et des petites machines, je devais faire attention que les PTT ne m’attaquent pas en justice parce que je faisais fonctionner des ondes radio sur quelques mètres. C’était illégal. Aujourd’hui, si je veux utiliser une radio sur un bateau à voile, je dois avoir un permis pour ma machine et pour moi-même. Je dois passer un test. Et cette radio n’est pas du tout dangereuse. Elle capte sur quelques kilomètres, alors que tout le monde peut se connecter à l’Internet et envoyer des messages autour du monde. Comme je l’ai dit auparavant, je ne suis pas là pour promouvoir un contrôle de l’État comme la solution parfaite pour plus de sécurité Internet. Pour répondre à votre question, « Devrions-nous avoir quelque chose comme le contrôle des armes pour le cyberespace ? », l’idée semble très intéressante au premier abord. Les armes informatiques semblent être aussi importantes que d’autres armes physiques, et tout aussi dangereuses. Et la tâche est importante.
55
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
D’ailleurs, la Fédération de Russie a proposé une convention internationale sur la sécurité de l’information, avec l’idée d’interdire la prolifération des cyberarmes. Mais les problèmes de définition sont immenses. Qu’est-ce qu’une cyberarme ? Je veux dire par là qu’on peut compter les chars, les armes à feu, mais peut-on compter les ordinateurs ? Peut-être. Et les programmes informatiques ? Et les copies de programmes ? Et surtout, puisque l’utilisation est le mot-clé, c’est très compliqué. Les problèmes liés à la définition des termes sont immenses. Les différences idéologiques entre les pays sont immenses. Les négociations prendraient sans doute des années. Et ensuite, ce serait impossible à appliquer. Un régime de contrôle des armes n’a pas de valeur sans vérification. C’est pour cela que l’interdiction des armes chimiques, l’interdiction des armes biologiques, et l’interdiction des essais nucléaires ont pris autant d’années à être négociés. Il faut aussi admettre que, par le passé, nous pensions que ce genre d’approche du contrôle des armes pouvait fonctionner, mais nous avons été amenés à nous rendre compte que cela ne peut pas fonctionner. D’un point de vue pratique, ça ne fonctionne pas. Nous voulons néanmoins nous appuyer sur l’expérience que nous avons dans le domaine du contrôle des armes. Voilà pourquoi, d’ailleurs, l’OSCE est une bonne enceinte dans ce domaine. L’OSCE, vous vous en souvenez, doit son existence à la Conférence pour la sécurité et la coopération en Europe dans les années 1970. Ce qui a ensuite conduit au Traité sur les forces armées conventionnelles en Europe, le Traité CFE. Ce traité est un contrôle des armes pur et dur, où l’on pouvait compter les chars et dire « Non, vous avez cinq chars de trop » ou « Vous ne pouvez pas mettre vos chars ici, vous devez les mettre ailleurs ». Mais la deuxième chose qui est née de ce processus, c’est le document DML. Ce document est un document de contrôle des armes plus diplomatique. Ce sont des mesures prises pour augmenter la confiance et la sécurité. En quoi consistent ces mesures ? En échange de doctrines pour la cyberdéfense civile et militaire ; on acquiert les noms de points de contact. Comme nous l’avons dit précédemment, il faut avoir quelqu’un que l’on peut appeler 24 heures sur 24 et 7 jours sur 7. Parce qu’il peut y avoir des visites. Il peut aussi y avoir des documents descriptifs, mais qui requièrent une réponse immédiate à cause d’un manque d’information, par exemple. Ce n’est pas facile, comme je l’ai dit. Mais la communauté internationale y travaille, ainsi que l’OSCE et les Nations unies. Il y a quelques efforts bilatéraux. Nous savons que les États-Unis et la Fédération de Russie tentent de mettre en place des mesures bilatérales de confiance, et je sais que ce sont des négociations très difficiles.
56 56
3 Une réponse globale au niveau européen est-elle possible ? Général de brigade aérienne Pascal Roux
Directeur "Capacités et concepts", État-major de l’Union Européenne (Emue)
Jakub Boratynski
Chef d’unité "Lutte contre le crime organise", DG Affaires Intérieures, Commission européenne
Giuseppe Abbamonte
Chef d’unité, "Développement de la politique de communication électronique", DG Infso, Commission européenne
Heli Tiirmaa-Klaar
Conseillère en politique de cybersécurité au Service européen pour l’action extérieure (SEAE)
Contre-amiral (2S) Denis Trioulaire
Directeur "Capacité", Agence européenne de défense, AED
Modérateur : François Géré
Professeur, chaire Castex de cyberstratégie
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
Général de brigade aérienne Pascal Roux Je vais d’abord vous parler de l’Emue, l’État-major de l’UE : qui nous sommes, ce que nous faisons. D’abord, nous sommes un des outils du comité militaire, nous sommes donc un acteur important au sein d’une organisation intergouvernementale. Nous sommes – je suis – au service des États membres. Ce que je produis, c’est simplement le résultat du consensus des États membres. Grâce aux intervenants nationaux précédents, vous avez pu remarquer qu’il y avait des sensibilités différentes, des tendances différentes concernant une problématique commune. Et c’est aussi la beauté de la cyberdéfense. Il y a des positions très nationales qui expriment la souveraineté de chaque pays, qui doivent être mises en place et appliquées, mais autour d’une préoccupation commune. Donc c’est intéressant, de ce point de vue, de voir comment les choses vont évoluer. Deuxièmement, nous travaillons aussi au sein du Service européen pour l’action extérieure (SEAE). Nous faisons donc partie de cette structure. Par conséquent, Mme Ashton est également notre responsable. Elle compte sur nous pour les besoins en expertise militaire et toutes les problématiques qui y sont associées. La cyberdéfense fait partie de ces problématiques. Vous avez bien compris que nous allons à l’encontre du principe habituel, surtout dans le domaine militaire, qui veut qu’il n’y ait qu’un chef. Nous sommes un contre-exemple. Nous répondons à deux instances. Pour cerner l’Emue, "qui nous sommes, ce que nous faisons" : je pourrais être très rapide et vous inviter à regarder notre site, où vous trouverez quatre pages. C’est très court à lire. Si vous avez un moment, et vous voulez une "cybervision" de qui nous sommes et ce que nous faisons, vous pouvez aller voir ces pages, qui sont très intéressantes. Afin d’être un peu moins "cyber" et un peu plus humain, je vais vous lire une phrase qui est tirée du résumé de l’article sur notre mandat : C’est une décision datée d’avril 2008, juste avant la présidence française, qui explique que notre mission consiste à, et je lis : « effectuer des alertes précoces, des évaluations de la situation, et la mise en œuvre de stratégies pour les missions décrites dans le Traité de Lisbonne, y compris celles de la Stratégie européenne de sécurité ». Notre mandat est donc très clair. Nous parlons de mise en œuvre de stratégies, de stratégies opérationnelles, pour préparer la bonne conduite des opérations, mais nous parlons aussi de la planification des forces, vu son importance, pour être à même de conduire ces opérations à terme. Comment mettons-nous ce mandat en œuvre ? Nous avons plusieurs divisions au sein de l’Emue. Ma division est celle des "Concepts et des compétences" (Concap). On peut aussi ajouter la troisième branche qui est celle de la "Formation et de l’analyse". Et si l’on fait le lien avec les discours précé-
58
4e Séminaire IHEDN de Bruxelles 28 juin 2012
dents, qui ont souligné l’importance de l’éducation et de la formation, on peut comprendre que je suis très intéressé par ce qui a été dit ce matin et que je développerais ces thématiques tout à l’heure. Pour en revenir au domaine cyber : au Concap, nous comptons beaucoup sur l’expertise d’autres directions, dont celle du Systèmes d’information et de communication (SIC). Le SIC fait activement partie des différents organismes qui représentent l’expertise de l’Emue au SEAE. Le SIC est bien sûr impliqué dans le développement de notre travail conceptuel autour de la cyberdéfense. Tout d’abord, un petit rappel historique. Quelle est la base de notre travail aujourd’hui ? Comme je l’ai dit, le degré d’ambition de la Stratégie européenne de sécurité dépend du degré d’ambition exprimé et souhaité par les Européens. Dans un rapport de 2008 à propos de la Stratégie européenne de sécurité, des nouvelles menaces étaient décrites, et clairement définies dans le rapport stratégique. Ces cinq menaces sont : les armes de destruction massive, le terrorisme et le crime organisé, la cybersécurité, la sécurité énergétique et le changement climatique. Ce rapport est différent, d’une certaine manière, du document de base qui décrit le degré d’ambition. Pour nous, soldats, ce changement peut être interprété ainsi : « Peut-être que les besoins ont changé et qu’il faut que nous faisions part de ces changements aux États membres afin qu’ils acquièrent les capacités nécessaires pour faire face à ces problèmes ». Nous avons étudié tous ces nouveaux éléments. En novembre 2011, nous devions changer nos besoins face à la cyberdéfense, pour répondre à l’une de ces cinq menaces. Donc, en novembre 2011, il a été décidé qu’il fallait être très attentif à cette problématique, et nous avons donc révisé notre catalogue des exigences, qui est, en fait, notre inventaire de besoins. Ceci est un travail continuel. À ce sujet, nous travaillons en collaboration avec l’AED (Agence européenne de défense), qui a un rôle important, et Denis en parlera davantage. Nous travaillons beaucoup ensemble sur ce thème, et c’est très intéressant, puisque, grâce à l’AED, nous avons des liens avec l’industrie, surtout l’industrie européenne. C’est pourquoi il était très intéressant d’entendre parler les acteurs de l’industrie ce matin. Nous travaillons donc sur le développement de capacités et notre investissement. Dans les prochaines semaines, nous allons définir notre besoin en capacités. Cela peut sembler très simple, pour vous qui êtes spécialistes, de formuler des besoins. Mais lorsqu’il faut arriver à un consensus avec 27 États membres pour un besoin, cela devient un travail ardu. C’est bien ce que nous cherchons à faire avec le Comité de travail militaire européen, qui est dédié au développement des compétences. En septembre, nous organiserons un séminaire au sein de ce comité, avec les États membres et nous enclencherons le processus. C’était le premier axe de notre travail.
59
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
Le deuxième axe est le travail conceptuel. Vous vous souvenez que ma division s’occupe des "Concepts et compétences". Je vous ai parlé des moyens et des compétences. Parlons maintenant du concept. Nous travaillons en collaboration avec la division SIC au sein de l’Emue. Ce concept servira bien sûr à nourrir notre réflexion sur les besoins. C’est la base de notre travail, et il s’agit d’un travail en cours. Le périmètre est limité au secteur des opérations, puisque nous travaillons au sein du Service pour l’action extérieure. Bien sûr, comme nous l’avons dit plusieurs fois, il est impossible de traiter avec le monde extérieur d’un côté et avec l’Europe de l’autre. Nous essayons de développer cela dans notre concept, afin de créer un lien clair entre les opérations militaires à l’extérieur de l’Europe – puisque c’est notre mandat explicite – et le développement de tous les éléments qui ont été décrits ce matin, ainsi que le Service pour l’action extérieure. Normalement, d’ici la fin juin, nous devrions avoir une version du projet et en septembre nous discuterons de cette première version avec les États membres. Est-ce que nous sommes en train de travailler tout seuls dans notre coin ? Non. Nous sommes évidemment au courant du travail sur la Stratégie européenne, où la Commission européenne et le Service européen pour l’action extérieure sont très impliqués. Nous communiquons aussi régulièrement avec l’Otan, dans le cadre accepté, c’est-à-dire par le biais de discussions informelles entre les membres du personnel. Avant de conclure mon intervention, j’aimerais encore vous parler d’une dernière chose. Je voudrais vous rappeler que nous prenons tout à fait en compte l’idée d’entraînements et d’exercices. Cette année, nous encadrons un exercice – à plusieurs niveaux – qui va du plus haut niveau politique aux niveaux régional, opérationnel, et militaire, et qui prend en compte toute la chaîne des structures de gestion de crise. Ce ne sera pas possible d’inclure la cyberdéfense en tant que thème pour notre exercice du mois d’octobre, mais il fera partie de l’exercice suivant. Le Cops et le Comité militaire ont clairement rappelé qu’il était urgent de prendre sérieusement en compte cette nouvelle menace.
Questions du public Fabio Rugge, délégué italien à l’Otan Je comprends la nécessité d’un concept immédiat pour les opérations européennes dans ce domaine. Ma question est la suivante : pourquoi un État membre devrait-il faire appel à l’UE au lieu de l’Otan, puisque l’Otan est déjà bien avancée en termes de doctrine et de préparation ? Général de brigade aérienne Pascal Roux J’aime beaucoup votre question, puisqu’elle me rappelle que j’ai oublié de préciser quelque chose. Je ne voulais pas m’attarder sur l’UE, l’Otan et toutes ces structures. Vous me donnez l’occasion de
60
4e Séminaire IHEDN de Bruxelles 28 juin 2012
le faire. L’action militaire européenne fait partie d’une approche exhaustive, et, en cela, je ne veux pas dire "en lien avec des acteurs extérieurs". C’est une approche exhaustive au sein de l’UE, qui utilise tous les acteurs européens, et cela fait une différence. Parce que – comme cela a été dit – une cyberattaque peut cibler un service particulier, comme l’armée, mais cette attaque aura un effet contaminant sur les autres services qui y sont rattachés de près ou de loin. Et, suivant le principe de l’approche exhaustive, tous les services au sein de l’UE sont étroitement liés, à la fois dans la définition des buts, et dans la mise en place des missions. Et cela peut faire la différence. Au bout du compte, ce seront les conseils, le Conseil de l’Atlantique Nord pour l’Otan et le Conseil européen, qui décideront ce qu’ils veulent faire : nous sommes, des deux côtés, dans un champ intergouvernemental. Et en fait, ce sont les États ou les pays membres qui décident de ce qu’il faut faire. Donc je crois que cela répond en partie à votre question, puisqu’il n’y a pas qu’une seule réponse possible. Ce sera une réflexion au cas par cas, et je crois que les deux Conseils prouveront qu’ils ne s’ignorent pas en entretenant un dialogue constant. Ils décideront qui fait quoi, et prendront sans doute chacun des mesures. J’ai une préférence, je joue pour mon équipe, pour l’engagement des États européens. Je crois qu’il y a là du potentiel, grâce à l’approche exhaustive, plus d’intérêts à jouer avec les outils de l’UE. Mais au bout du compte, la décision revient aux États et pays membres. Jakub Boratyn´ski Chef d’unité "Lutte contre le crime organisé", direction générale des affaires intérieures Commission européenne Nous comprenons la difficulté de définir ce dont nous parlons exactement, et ce qui est important. Il faut parler de problématiques claires. En ce qui concerne le titre de cette conférence, qui parle de cyberstratégie, le titre suggère une approche plus large des problèmes en matière de cyber. Nous avons un degré d’implication particulier, puisque je représente le directeur général (DG) des affaires intérieures, qui est la partie de la Commission européenne qui dialogue avec les instances de police et certaines autorités judiciaires. Nous agissons par le biais de mesures telles que le droit pénal européen. Donc, si nous prenons la problématique de base, nous nous occupons bien sûr de la cybersécurité quand nous identifions ou suspectons une intention malveillante. Nous traitons des incidents ou des menaces de cybersécurité qui proviennent d’une activité criminelle. Depuis dix ans, le cyberespace est un marché de plus en plus lucratif pour les criminels dans lequel des groupes de crime organisé veulent investir. Cela correspond à la nature du crime organisé qui est essentiellement une industrie à but lucratif. Si l’on observe ces problématiques d’un point de vue criminel, le cyberespace est très clairement l’un des meilleurs endroits où un gros profit peut être généré avec un risque minimum. Je dirais que malgré les efforts, nous sommes loin derrière les criminels. Je vais brièvement parler des éléments-clés auxquels nous essayons d’ajouter une valeur ajoutée européenne. Bien sûr, quand nous parlons de sécurité interne, ce sont les États membres qui déterminent nos
61
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
objectifs, nous ne chassons pas les criminels depuis Bruxelles, ce sont les forces de l’ordre sur le terrain. La cybercriminalité s’est beaucoup développée, et peu après l’entrée en vigueur du Traité de Lisbonne, nous avions le premier document important sur une politique de stratégie de sécurité interne. Ce document peut être vu comme une stratégie de sécurité européenne plus ancienne, un moyen de définir les menaces principales et les objectifs à atteindre, sur un plan opérationnel. La cybercriminalité était décrite en détail, et faisait partie de cinq grands champs d’études. Il y a eu plusieurs annonces de propositions spécifiques. L’une d’elles est presque aboutie : il s’agit du projet de directive sur les cyberattaques. Ce projet de directive tente de décrire les réseaux zombies, et les obstacles qu’ils créent. Afin de lutter contre les réseaux "zombies", il faut avoir deux réseaux automates et séparer ce qui a été fait. D’un point de vue pénal, la criminalisation de cet acte est difficile, car il faut une application des lois renforcée pour poursuivre de tels cas en justice. La proposition de directive, comme je l’ai dit, est presque aboutie. En bref, c’est un accord de substance qui a été convenu entre le Conseil et le Parlement. Si tout va bien, et si les problématiques liées à l’espace Schengen sont résolues, la directive sera adoptée en septembre. Une autre mesure importante que nous avons prise concerne la décision d’établir un Centre européen de lutte contre la cybercriminalité, à la suite de demandes d’États membres qui nous ont proposé de réfléchir à ce projet. La Commission a établi une étude de faisabilité, en tentant de trouver un lieu, les activités et la valeur ajoutée d’un tel centre. Ce processus a été très intéressant. Il a inclus les forces de l’ordre sur le terrain et d’autres collectivités qui jouent un rôle important pour une lutte efficace contre la cybercriminalité. Cette participation transparait dans la conception du centre, fondée sur un principe de subsidiarité. Le centre ne se chargera pas de lutter contre tous les types de cybercriminalité, mais travaillera dans le cadre de trois champs principaux. En premier lieu, la cybercriminalité perpétrée par des groupes transnationaux de crime organisé, surtout quand ceux-ci génèrent de gros profits. Nous nous concentrons donc sur une des formes majeures de fraude en ligne, les "scams", c’est-à-dire les escroqueries en ligne. En deuxième lieu, le centre se chargera de la cybercriminalité particulièrement nuisible aux victimes. En troisième lieu, le centre se concentrera sur les attaques qui portent atteinte aux infrastructures et systèmes d’information clés de l’Union. À propos des fonctions principales du centre, la première d’entre elles consistera à assurer l’hébergement de la communication. Nous avons décidé de l’établir chez Europol. Il y avait d’autres options, mais étant donné le bilan solide d’Europol dans ce domaine, la décision a été prise de capitaliser sur ce qu’Europol a déjà entrepris. En même temps, le centre cherche à être plus qu’un lieu d’application des lois.
62
4e Séminaire IHEDN de Bruxelles 28 juin 2012
La fonction première du centre est donc d’être un lieu où l’information est recueillie, avec des points de contact, en lien avec l’idée de fusion de données. Afin de lutter efficacement contre la cybercriminalité, il ne faut pas seulement recueillir les informations de la police – ce qui est l’une des tâches principales d’Europol –, mais aussi recueillir les informations du secteur privé, pour des raisons évidentes. En effet, la grande majorité des infrastructures appartiennent au secteur privé. Il faut atteindre ces collectivités – qui, si je le comprends bien, étaient représentées dans la table ronde précédente, les Cert, équipes de réaction d’urgence informatique – ainsi que les logiciels open source, les universitaires, les chercheurs, pour qu’ils puissent tous apporter leur contribution. Les informations recueillies ne s’arrêteraient pas à des informations opérationnelles sur des cas spécifiques, mais seraient élargies, intégrant les nouvelles tendances, logiciels malveillants, nouveaux modes de fonctionnement de la cybercriminalité, etc. La deuxième fonction du EC3 est de soutenir l’expertise en cybercriminalité, afin de soutenir les États membres dans leur développement de compétences et leur meilleure gestion des cybermenaces. Il y a eu beaucoup d’efforts dans le domaine de la formation, mais il y a encore beaucoup d’efforts à faire, et tout ça doit être généralisé. La fonction de service d’Europol n’est pas une de ses fonctions principales aujourd’hui, mais une de ses missions est bien de soutenir les États membres dans leurs enquêtes pénales liées au cyberespace. Pour être bien clair pour ceux qui ne connaissent pas trop le travail d’Europol : ce n’est pas une police fédérale européenne. Mais ce qu’Europol peut néanmoins faire, dans un bureau subsidiaire, c’est analyser les informations qui proviennent de sources différentes, comparer des données entre elles, comme des numéros de téléphone, des responsables, d’autres preuves. En cela, Europol peut aider à renforcer des dossiers judiciaires grâce à des preuves. Avec le développement d’Europol, il arrive que des équipes d’Europol soient sur le terrain, par exemple lors de perquisitions d’habitations. Dans tous les cas, les experts d’Europol ne participent pas directement, ils sont simplement présents avec un accès aux bases de données d’Europol pour traiter l’information. En ajoutant un centre de lutte contre la cybercriminalité, celui-ci aurait plus de compétences en général, et donc la possibilité de conduire une action bien plus large qu’elle ne l’est aujourd’hui. Enfin, le but du Centre de lutte contre la cybercriminalité, serait de devenir, d’une certaine manière, la voix collective européenne des enquêteurs de la cybercriminalité, afin que ces personnes puissent faire des propositions intéressantes, développer des stratégies, des lois, de manière à ce que tous ces besoins soient bien pris en compte. Au cœur de la conception du centre, il y avait le besoin d’aller au-delà des tours d’ivoire actuelles de la cybersécurité, divisées en plusieurs secteurs : les télécommunications, le secteur privé, les forces de l’ordre, etc. Donc l’idée, c’est que le centre soit un lieu de rencontre pour tous ces acteurs. D’où l’importance de l’élaboration d’un comité des programmes, où plusieurs organismes seraient représentés : l’Enisa, le Collège européen de police, Eurotrust – qui est responsable de la coordination judiciaire de l’Union européenne –, le groupe de travail des chefs d’unité des États membres sur la
63
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
cybercriminalité, EU Cert. Donc, tous ces efforts sont faits avec un objectif de résultats, afin de permettre au centre de fonctionner pour satisfaire les besoins de tous. Nous le construisons à l’heure actuelle. La première réunion du futur comité des programmes a eu lieu il y a quelques semaines. Le centre doit être opérationnel en 2013 et doit fonctionner de manière optimale d’ici 2014. Un petit problème à régler concerne les ressources. C’est en effet un défi, puisque cette décision arrive en période d’austérité et de coupes budgétaires, avec une diminution du financement de l’Agence dans tous les domaines. Nous devons admettre que cela n’a pas encore été réglé. Mais nous sommes confiants, nous allons trouver une solution, et il y a de la part d’Europol la volonté de se réorganiser sans, bien sûr, mettre en péril le travail à faire dans d’autres domaines. Il y a bien sûr encore du travail à faire dans de nombreux domaines. Mais nous sommes contents d’avoir réussi à trouver un accord politique qui a permis d’aboutir à une stratégie d’action commune de la Commission européenne. Parce que je pense qu’il y a vraiment une attente du monde extérieur quant au rôle de l’UE, qui pourrait avoir une approche complète et exhaustive sur les problématiques de la cybersécurité. Mais en même temps, je me rends bien compte que ce n’est pas une tâche facile. C’est une tâche très compliquée. En effet, il s’agit de domaines de travail très différents, et il faut chercher quelle valeur ajoutée l’UE peut apporter dans tous ces domaines. Que l’on parle du marché interne – où les compétences sont déjà bien développées – ou que l’on parle de la sécurité interne – ce qui était avant le troisième pilier, où il pourrait y avoir une valeur ajoutée européenne, ou même jusqu’à parler de la PSDC (Politique de sécurité et de défense commune) et des compétences de défense. Giuseppe Abbamonte Chef d’unité, "Développement de la politique de communication électronique", DG Infso Commission européenne Je ne vais pas parler de la stratégie de cybersécurité intégrée, parce que le travail est en cours de réalisation, et nous allons avoir une réunion de rédaction sur la stratégie intégrée cet après-midi. C’est un travail en cours, et je me retiens donc d’en parler. La DG "Société de l’information" représente la branche civile et toute la stratégie intégrée. Nous observons donc ce qui concerne la Sécurité des réseaux et de l’information (SRI). Nous ne parlons pas de cybersécurité. Nous parlons de SRI, d’un point de vue civil, du point de vue du marché interne. Nous observons ce phénomène d’un point de vue purement économique, parce que l’Internet est devenu l’épine dorsale de notre marché interne. Le marché interne est extrêmement dépendant du bon fonctionnement du Web et de la résistance des systèmes d’information en réseau. Et si l’un de ces systèmes s’effondre pour une raison ou une autre – à cause d’une attaque, d’une erreur humaine, d’une erreur de maintenance ou d’un cas de force majeure comme la foudre, des inondations ou un tremblement de terre – cela pourrait avoir de sérieuses conséquences. Il pourrait y avoir de grosses perturbations du marché interne. Ces évènements pourraient affaiblir le fonctionnement et le cycle du marché interne. Donc voici le point de départ de notre réflexion.
64
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Je pense que je vais répondre à la question qui était posée auparavant, à propos des compétences et des Cert (équipes d’intervention en cas d’urgence informatique). C’est exactement ce à quoi nous pensons. Nous travaillons tous sur une proposition légitime qui sera l’un des éléments de notre stratégie. Cette proposition pourrait prendre la forme d’un règlement, mais ce sera une proposition de loi sur la sécurité des réseaux et de l’information. Le but de la proposition est de fournir un niveau minimal de sécurité pour toute l’Union européenne. Il y a trois axes dans cette proposition. Le premier axe est l’intervention au niveau national. Mais dans les faits, tous les États membres n’ont pas le même niveau de capacités. Dans certains États membres, surtout dans le Nord-Ouest, ou dans la partie Nord de l’Union européenne, les capacités sont très élevées, mais le niveau de capacités et de préparation diminue progressivement lorsqu’on descend vers le Sud, et diminue encore davantage lorsque l’on va vers l’Est. La première étape serait de s’assurer que tout le monde ait des capacités suffisantes au niveau national afin d’être crédible sur le marché ou au niveau européen, de manière à pouvoir coopérer sur un même pied d’égalité avec les partenaires européens. En bref, la proposition permettra à tout le monde d’avoir un organisme responsable de la coordination, d’un point de vue civil de cybersécurité : tous les États membres auront un Cert en place. Tous les États membres développeront une vision stratégique de sécurité. Ils auront une stratégie de sécurité ainsi qu’un plan d’urgence. Donc ils auront un plan d’intervention qui leur permettra d’améliorer leur niveau de préparation, au cas où il y aurait un problème dans les systèmes d’information en réseau. Et tout le monde – et il faut insister sur ce point – tout le monde devra faire des exercices et tests réguliers afin d’améliorer le degré de préparation de chacun face à une éventuelle crise du système. Le deuxième axe de notre stratégie est la coopération. Pour l’instant, la coopération se fait de manière spontanée ; tout dépend de l’implication des États membres. Évidemment, ceux qui pensent avoir des bons systèmes de sécurités se parlent entre eux, échangent des informations et coopèrent. Tous les États ne font pas partie de ce club, puisque, comme je l’ai dit auparavant, tous les États n’ont pas les mêmes capacités, ce qui est à la base de la confiance, de la confiance mutuelle entre les États membres. C’est pourquoi, tant qu’il n’y a pas de structure qui organise cette coopération entre les différentes autorités, le deuxième axe de notre plan vise à mettre en place une structure pour organiser la coopération entre les États membres, afin qu’ils puissent échanger des informations et leurs meilleures pratiques ; ils seront aussi assujettis à des peer reviews – examens par des pairs – des autres États et ils s’alerteront mutuellement si quelque chose ne va pas dans l’une des entités, si un conflit éclate, ou si quelqu’un s’aperçoit d’un incident. Il faut insister sur le fait qu’afin d’échanger des informations avec confiance, elles doivent être partagées sur une plate-forme sécurisée, une infrastructure forte dédiée à cette mission particulière.
65
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
Le troisième axe de notre stratégie est celui du secteur privé. Le secteur privé est très important. Il détient plus de 90 % des infrastructures. Dans le secteur des télécommunications, il y a des règles, notamment des règles sur le signalement des violations de sécurité. Parmi les opérateurs de télécommunication, par exemple Belgacom, s’il y a un incident lié à la sécurité qui compromet sérieusement son réseau ou ses services, Belgacom devra, dans le cadre de sa gestion des télécommunications, faire part de l’incident, et le notifier à l’autorité chargée de la question. Cette règle ne s’applique pas aux services de sociétés de l’information, elle ne s’appliquerait pas à Skype, par exemple. Skype n’est pas un opérateur de télécommunications, mais est classé comme un prestataire de services de société de l’information. Cette règle ne s’applique pas non plus au service Cloud – nous les appelons prestataires de services Cloud – ni à Amazon en tant que prestataire de services Cloud, ni aux services de courriels. Cette règle ne s’applique pas à des services de sociétés de l’information qui ont une influence économique clé. Nous pensons que tout cela est très, très important, puisque lorsque l’on propose et même exige que les prestataires de services de la société d’information signalent des violations de sécurité aux autorités, nous les encourageons fortement, par le biais de régulations, à adopter une culture de la gestion du risque. Nous leur demandons d’identifier les risques, de les mesurer et de les gérer efficacement. Ce qui est important, c’est que nous sommes convaincus que ces trois axes se renforcent mutuellement – car, si le signalement est appliqué, les autorités, et les autorités nationales auront une idée plus précise de ce qui se passe à l’échelle nationale. Donc, si les menaces augmentent ou diminuent, selon le nombre d’incidents, ils auront une meilleure idée de ce qui se passe en termes de sécurité dans le pays, et ils pourront mieux se préparer et mieux gérer les risques. Si les États membres ont suffisamment de moyens, ils pourront tous s’asseoir autour de la table en tant que membres à égalité et travailler ensemble. La coopération est très importante et se doit d’être organisée. Il faut absolument s’assurer que l’information circule de manière sécurisée. Sur le plan international, il est aussi très important d’intégrer le marché interne, ou la dimension externe du marché interne. Car si l’Union européenne s’organise, elle est plus à même de devenir un interlocuteur international crédible. C’est ainsi que l’Union européenne pourrait aussi exporter ses valeurs et sa couverture de cybersécurité à l’étranger. Heli Tiirmaa-Klaar Conseillère en politique de cybersécurité au Service européen pour l’action extérieure (SEAE) Vous savez sans doute tous ce qu’est le Service européen pour l’action extérieure : le nouveau service diplomatique pour l’Union européenne. Mon parcours m’a amenée à des postes de diplomatie, renseignement et défense. Ce dont nous parlons – le cyberespace et les cybermenaces – concerne un domaine qui soutient toutes les activités humaines autour du monde. Afin de peut-être parler des politiques étrangères de l’UE dans ce domaine, j’aimerais clarifier, ou conceptualiser la façon dont l’UE – en tant qu’organisme
66
4e Séminaire IHEDN de Bruxelles 28 juin 2012
supranational et international auprès duquel les gouvernements membres ont délégué une part de leur souveraineté, surtout dans le champ du marché interne et des affaires intérieures – peut synthétiser tous les défis de cybersécurité auxquels nous sommes confrontés en une approche européenne intégrée, et comment nous pouvons présenter cette approche aux acteurs extérieurs. C’est la tâche difficile qui incombe au Service européen pour l’action extérieure. Si l’on observe le cyberespace, on peut y voir des couches différentes avec leurs problèmes respectifs. Nous avons d’abord la couche globale, avec des problèmes à l’échelle globale. Ensuite, nous avons des problèmes à l’échelle régionale et enfin, nous avons ceux à l’échelle nationale. L’UE est intéressante dans cette mesure, puisqu’elle peut s’occuper de plusieurs échelles en même temps. L’UE peut à la fois s’intéresser à l’échelle mondiale et à des échelles très régionales – en interrogeant les degrés de préparation et les aptitudes des États membres, mais en s’adressant aussi aux citoyens euxmêmes et aux individus impliqués dans le domaine du cyberespace. Nous avons une opportunité pour rédiger de très bons projets de loi, ici, au sein de l’Union européenne, et j’espère que nous sommes prêts et aurons suffisamment de sagesse pour saisir cette opportunité. Maintenant je me tourne vers des thématiques plus internationales, ce qui est le rôle du SEAE : comment l’UE voit le cyberespace et les règles et lois nécessaires au sein de la communauté internationale ? Tout d’abord, parmi les acteurs internationaux, l’une des particularités de l’UE réside dans sa capacité unique à exporter ses normes, et sa façon de faire des affaires à l’étranger. L’UE est parfois appelée puissance normative, parce que cet aspect de sa puissance a été un outil important au cours des cinquante dernières années, au-delà de ses pouvoirs économiques ou autres. La puissance normative pourrait aussi s’appliquer dans le cas des questions cyber, puisque nous avons des bonnes pratiques au sein de l’UE que nous pouvons exporter vers le reste du monde. Nous avons de bonnes lois, des lois internationales, rédigées en Europe, que nous devons promouvoir à l’extérieur de l’UE. Et nous pourrions aussi être ceux qui, en tant que citoyens faisant partie d’une structure internationale, respectent ces règles. Commençons donc avec les valeurs fondamentales de l’UE. Nous soulignons toujours l’importance des droits fondamentaux sur l’Internet, comme la liberté d’expression, l’accès à l’information, la liberté d’association. L’idée, c’est que tous les acteurs du cyberespace doivent respecter ces droits fondamentaux, de la même manière qu’ils sont respectés dans d’autres aspects de la vie quotidienne. Alors, bien sûr, nous devons réfléchir à la manière dont les États devraient se conduire au sein de la communauté internationale, parce que, récemment, les États ne se sont pas très bien conduits dans le cyberespace. Donc ce qu’il faut bien comprendre, c’est que quand on en vient à la force, les États se doivent de suivre les règles déjà établies, tout en ayant des rapports d’État à État qui ne sont pas toujours faciles. Nous devons nous assurer que les lois concernant les conflits et le droit matériel international s’appliquent aussi au cyberespace. Nous avons évidemment des points de vue différents de ceux d’autres membres de la communauté mondiale, et certains pays voudront proposer un traité
67
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
de lutte contre la cyberguerre ou quelque autre forme de surenchère. Mais je pense que notre collègue allemand a très bien expliqué pourquoi utiliser ce genre de traité n’est pas une bonne solution, puisqu’il est impossible de vérifier l’application de ce traité de lutte contre la cyberguerre. L’UE préconise donc d’appliquer au cyberspace les lois internationales existantes. Quand il s’agit de sécurité internationale, et quand il s’agit de combattre la cybercriminalité, nous avons le meilleur outil législatif – la Convention sur la cybercriminalité du Conseil de l’Europe – qui instille la notion d’un minimum de responsabilité de chaque État à travers le monde. Un de nos objectifs est de promouvoir cette convention partout dans le monde. Nous avons aussi une proposition qui est déjà assez aboutie, que l’on qualifie de "Renforcement des capacités de cybersécurité". Nous nous penchons aussi plus généralement sur le renforcement des capacités des systèmes, afin de créer des infrastructures d’information plus sécurisées et exploitables entre elles à l’échelle globale. Le secteur privé fait fonctionner cette infrastructure, donc nous pourrions complètement soutenir l’activité du secteur privé dans ce domaine. Ce que l’UE peut faire de mieux, c’est ce qu’elle fait avec les États membres : augmenter la préparation des États membres dans le cyberespace, ce que la commission fait déjà très bien. En tant que structure pourvoyeuse d’aide au développement pour faciliter la transition de pays en voie de développement, l’UE est bien placée pour intégrer des thématiques du cyberespace dans ses politiques d’aide, comme la cybersécurité, les capacités Internet, les formations d’application de la loi, les formations juridiques. Tout ça, nous le faisons déjà. Il y a aussi d’autres problématiques internationales qui sont assez importantes. Et, comme je l’ai déjà évoqué, notre activité de cybersécurité ne doit pas être vue comme un moyen pour avoir plus de contrôle sur les gouvernements. Nous soutenons l’Internet libre et ouvert, et nous soutenons la façon dont l’Internet est gouverné aujourd’hui, établi sur un modèle multipartite. Mais simultanément, puisque les problématiques de sécurité sont déjà dominantes aujourd’hui, nous devons vraiment discuter avec les autres acteurs internationaux, afin de renforcer la stabilité et la responsabilisation du réseau Internet. Les États membres souhaitent que l’UE s’occupe de ces problématiques. En conclusion, bien sûr que l’UE n’est pas isolée. Nous avons de nombreux partenaires dans les organismes internationaux, qui se concentrent aussi sur la cybersécurité. L’UE a un statut qui lui permet d’examiner le problème sous des angles différents, tant du point de vue technologique que de l’application des lois, que d’un point de vue plus diplomatique. Nous essayons de combiner tous ces points de vue quand nous parlons avec nos partenaires internationaux pour créer une cyberpolitique européenne plus cohérente. Nous espérons être en mesure de présenter cette politique lors de notre prochaine communication. Mais, bien sûr, il reste beaucoup de travail à faire et beaucoup de consultations à mener avec les États membres.
68
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Contre-amiral (2S) Denis Trioulaire, directeur "Capacités", Agence européenne de défense Amiral, Monsieur l’ambassadeur, Mesdames et Messieurs, merci d’avoir invité l’Agence européenne de défense à ce séminaire. Comme vous le savez, l’AED est une agence du Conseil européen, chargée dans le cadre du Traité de Lisbonne de soutenir le Conseil et les États membres dans un effort d’amélioration des capacités de défense et des politiques de sécurité et de défense de l’Union européenne. En tant que dernier intervenant de cette table ronde, je dois relever le défi de soutenir votre attention, après les interventions de nombreux professionnels de haut niveau qui ont parlé des problématiques de la conférence. J’aimerais établir mon intervention en m’appuyant sur trois caractéristiques génériques de la menace, afin de mieux évaluer l’aspect d’une réponse à l’échelle mondiale au niveau de l’UE – surtout pour l’armée – et vous offrir une idée du rôle de l’AED dans tout ça. La cybermenace couvre un grand champ d’action, allant de l’espionnage au vol de propriété intellectuelle, jusqu’aux perturbations à grande échelle qui provoqueraient de gros dégâts matériels. • La menace est mondiale et ignore les barrières physiques. Ni les barrières territoriales ni les endroits protégés tels que les zones militaires ne sont épargnés. • Elle est très rapide et l’ordre de magnitude du temps de réaction se calcule en secondes ou, au mieux, en minutes. • Elle est multiforme, change de forme en permanence et cache son origine et ses motivations. Attardons-nous d’abord sur le premier point : la menace est mondiale, ce qui implique que la meilleure réaction est de partir d’un principe de coordination rapprochée et active, pas seulement au niveau interministériel, mais aussi, et peut-être surtout, aux niveaux international et multinational. À cause de cela, nous ne sommes pas très bien préparés, puisque nous avons l’habitude historique de diviser le cyberspace en plusieurs piliers qui ne communiquent pas facilement ensemble : la protection civile, la dimension pénale, les services de renseignement, et la défense. Au niveau national, la cybermenace est du ressort de différents ministères, et est aussi du ressort transversal des agences nationales de sécurité. Au niveau de l’UE, les différents DG de la Commission jouent un rôle important, notamment les DG Connect, DG "Affaires intérieures", et DG "Entreprises et industrie". L’Enisa joue aussi un rôle important, ainsi qu’Europol avec le Centre contre la cybercriminalité en cours de constitution, le Service européen pour l’action extérieure, l’État-major militaire de l’UE, et, bien sûr, l’Agence européenne de défense.
69
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
Au niveau international, des acteurs comme les Nations unies, l’Union internationale des télécommunications (ITU), l’Organisation pour la sécurité et la coopération en Europe, la Coopérative Internet de la consultation sur l’amélioration de la confiance institutionnelle (Icann) et, bien sûr, l’Otan sont tous des acteurs importants. Dans ce contexte, certains acteurs ont un rôle de coordination utile : les agences nationales de renseignement, l’ITU ainsi que d’autres organismes passerelles, tels que l’Enisa dans les domaines économique et social ; Europol dans le domaine de la criminalité et de la sécurité civile, le Service pour l’action extérieure et l’État-major de l’UE dans le domaine de la sécurité civile et de la défense, et l’AED pour les ministères de la défense de l’UE. Néanmoins, tous ces acteurs forment un réseau complexe de cybercollectivité, difficile à organiser, et donc beaucoup plus vulnérable à une attaque. Comment faire face à ces difficultés ? D’abord, en admettant qu’il y existe un niveau efficace de coordination au niveau de l’UE entre les États membres qui partagent le même point de vue et qui feront face aux mêmes menaces en même temps. Il est évidemment très important d’établir une cyberstratégie européenne complète et exhaustive. L’armée a un rôle actif à jouer dans la création de cette stratégie, à la fois en tant que défenseur de ses infrastructures d’information, mais aussi en tant qu’utilisateur d’infrastructures nationales, et, de plus en plus, du cyberespace mondial. Le rôle de l’AED n’est pas central. Vous avez entendu les trois principaux acteurs juste avant moi. L’élaboration d’une stratégie européenne est du ressort de la Commission européenne et du Service européen pour l’action extérieure, ainsi que de l’État-major européen. Cependant, l’AED peut participer activement en tant que contributeur, et apporter son soutien en étant un point de rencontre entre les ministères de Défense nationale et la collectivité cybercivile européenne. L’AED peut aussi s’appuyer sur les 21 États membres de l’Otan ou pays associés à l’Otan et homogénéiser les différentes conceptions nationales de cyberdéfense. Les États membres ont fait un effort de sensibilisation en incluant la cyberdéfense dans leur plan d’action principal établi pour l’AED, appelé le Plan de développement des compétences. C’est l’une des dix priorités. Cela a conduit à la création d’une équipe de projet qui réunit des experts européens de cyberdéfense, et des acteurs du monde civil européen. Cette équipe s’est réunie pour la deuxième fois, représentant 19 États membres. Un chef de projet expert en cyberdéfense fournit le soutien nécessaire à cette équipe, faisant le lien à Bruxelles entre les acteurs européens et les organismes internationaux comme, très récemment, le Centre d’excellence de coopération en cyberdéfense à Tallinn.
70
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Ceci n’est pas une façon anormale de procéder à l’AED sur une priorité CDP (plan de développement de capacités), mais cela vous montre comment les choses évoluent, et l’importance de ces 26 visions communes des ministères de la Défense qui, petit à petit, augmentent au sein d’une telle organisation. Le deuxième aspect de la menace est sa rapidité, ce qui veut dire qu’il faut élaborer des plans pour réagir à une telle menace, et qu’il faut aussi des moyens partagés. On pourrait rétorquer en disant que la menace change tellement vite que même des plans stratégiques pourraient très rapidement devenir obsolètes. Et que dire des moyens qui peuvent prendre des années à être mis en place et à devenir opérationnels ? Une posture de retard est l’une des faiblesses les mieux exploitées, et l’un de nos problèmes majeurs. Il y a beaucoup d’éléments qui permettent une réaction rapide. Le premier élément est de conserver un bon moyen de défense dans le cyberespace, couvrant les thèmes suivants : • Surveillance efficace, la création d’une fonction de connaissance de la situation ; • Prévention et prédiction, avec des plates-formes de surveillance ; • Protection et détection, surtout de logiciels malveillants, menaces persistantes graves, l’évaluation des dégâts ; • Recouvrement. Dans une approche appropriée de capacité, ces différents thèmes, là où nous devons être efficaces, couvrent l’ensemble du développement des compétences, ce qui inclue l’organisation, les systèmes, l’éducation et la formation, la stratégie et les concepts, comme cela a déjà été dit, avec la nécessité urgente de construire une culture commune. Une éducation commune et partagée et la formation continue de différents groupes d’intérêts est un atout important. Il est nécessaire d’organiser des exercices européens exhaustifs et réguliers, et de multiplier ces exercices pour qu’ils s’adaptent à l’évolution rapide des menaces. Les scénarios doivent être en accord avec les dernières informations acquises, puisqu’avoir d’anciennes données pourrait donner un sentiment de fausse sécurité. Établir un réseau fort entre les acteurs permettra des réactions plus rapides et efficaces. Il ne s’agit pas simplement de lier physiquement les différents centres comme les Cert, qui ont une bonne réactivité, mais aussi d’améliorer l’interopérabilité en utilisant des structures architecturales au niveau des entreprises, avec une approche optimisée de service, à partir de la conception de nouveaux projets. Et quel doit être le rôle de l’AED dans tout cela ? Comme cela a déjà été fait dans d’autres domaines, comme dans la formation des pilotes d’hélicoptères, l’AED pour rester dans sa raison d’être, peut fédérer les États membres pour qu’ils acceptent de mettre en place, de manière permanente et par le biais de projets immédiats, les structures nécessaires pour faire ces exercices rapidement et avec facilité.
71
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
Ces activités doivent bien sûr être coordonnées avec d’autres acteurs comme l’Enisa, le Centre d’excellence de Tallinn et d’autres initiatives nationales. Comme dans d’autres domaines, partager et mettre en commun les ressources est la meilleure manière de se développer dans des conditions financières difficiles. Surtout lorsque le système pourrait s’affaiblir à cause de doublons au niveau des efforts fournis, ou à cause de lacunes non identifiées par les différents acteurs. L’AED est en train d’étudier l’idée d’un Marché commun de cyberdéfense où les États membres pourraient s’informer mutuellement de leurs actions, de leurs projets et de leurs concepts. Pour l’instant, nos États membres ont fait part de travaux préliminaires dans le domaine de la cyberdéfense, comme avec une étude qui fait un état des lieux de l’environnement actuel. La troisième particularité de la menace est qu’elle est très multiforme. Ce que nous voulons dire, c’est que l’origine de la menace est difficile à cerner si l’on ne comprend pas exactement le but de l’attaque : l’attaque se veut-elle économique, sociétale, gouvernementale ? Il faut aussi comprendre la motivation de celui qui attaque : est-il un espion, un voleur, un terroriste ? Le paradoxe, c’est qu’il faut du temps pour répondre à ces questions, alors qu’il n’y a pas de temps pour le faire. Ce qui importe alors, c’est d’avoir des règles déjà en place qui permettent de partager de l’information rapidement, et de bénéficier des technologies les plus avancées. La réaction la plus efficace est sans doute le partage de renseignements, puisque l’on ne pourrait pas conserver une position protectrice très longtemps. Dans l’idéal, en ce qui concerne une action immédiate, il faut d’abord mettre fin à l’attaque, et ensuite réfléchir à qui pouvait être l’attaquant et quelles étaient ses motivations. À ce moment-là, il faudrait avoir une marche de manœuvre plus ample que celle d’un seul État membre au travers d’un réseau européen permettant de partager de l’information, d’avoir un retour d’informations sur les attaques ou sur les incidents. C’est ainsi qu’on peut réagir efficacement, et garder un bon niveau de savoir-faire industriel critique. Le partage d’informations et de renseignements ainsi que le partage d’analyses judiciaires sont fondamentaux. Cependant, le partage de renseignements est très délicat, surtout pour des données très sensibles, et aura lieu après un long processus qui requiert de la patience. Nous réussirons si l’on peut prouver que ce partage conduit à une meilleure efficacité contre la menace. Il faut aussi que l’UE se charge de conserver le meilleur des cybertechnologies à l’intérieur de l’Union, comme la cryptologie, les modèles mathématiques, l’analyse de systèmes complexes, et les ressources humaines – puisque l’opérateur humain est souvent le maillon faible. L’une des missions de l’AED est aussi de surveiller la Base technologique et industrielle européenne de défense, l’EDTIB – et, en particulier, vérifier que les technologies-clés sont toujours en état de marche – et de signaler les carences dans ces domaines aux États membres. L’AED informe aussi sur l’état des compétences, et ce qu’il faut faire pour les protéger.
72
4e Séminaire IHEDN de Bruxelles 28 juin 2012
L’AED et la Commission européenne cherchent à identifier les domaines de synergie au niveau de la recherche et du développement. Le DG Connect et le DG Entreprises et industrie ont fait de gros efforts en créant le septième programme-cadre, avec plus de 80 projets pour près de 350 millions d’euros. Voilà pourquoi nous avons eu une réunion ce matin. Donc l’ambition de l’AED n’est pas de créer un plan de recherche et développement similaire, mais d’utiliser l’outil appelé Cadre de coopération européenne pour orienter les études commandées par l’AED dans le domaine de la recherche et de la technologie de manière plus coordonnée, afin d’éviter de traiter des mêmes sujets, et d’avoir accès aux résultats des études du 7e PC, qui pourraient intéresser le monde de la défense. Pour résumer : une réponse à l’échelle mondiale au niveau européen est non seulement possible, mais elle est incontournable. C’est sans doute la façon la plus efficace de compléter les efforts nationaux, et ce serait une erreur de s’opposer à cette réponse mondiale. En allant dans ce sens, l’AED peut proposer les services suivants : • Apporter un soutien commun et coordonné à l’élaboration d’une future stratégie européenne de cybersécurité, et dans le même ordre d’idée un concept de cyberdéfense pour l’armée ; • Créer un forum afin de discuter et de partager des points de vue nationaux sur le thème de la cyberdéfense, avec tous les acteurs impliqués ; • Sensibiliser davantage sur les éléments problématiques du moment et participer à l’effort en partageant les informations par la création une cybercollectivité entre les États membres ; • Encourager des projets de cyberdéfense multinationaux, comme des exercices communs ou des activités qui visent à partager le fardeau de cyberdéfense ; • Développer des synergies entre des projets civils et des projets de recherche et technologie ; • Et enfin, déterminer quelles technologies-clés sont à conserver au sein de l’UE.
73
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
Questions-réponses Public M. Boratyn´ski, vous avez fait allusion à Europol et à l’importance pour toutes les parties de partager l’information. Il y a le chapitre, article 25 d’Europol qui interdit le partage d’information à propos des forces de l’ordre. Nous faisons partie de l’industrie. Nous voulons collaborer. Comment aller au-delà de cet obstacle ? La deuxième question est pour M. Trioulaire. Vous avez parlé de l’intérêt de l’Agence européenne de défense à définir les technologies qui doivent rester en Europe. Est-ce que vous pensez qu’il est nécessaire d’avoir une chaîne d’approvisionnement européenne garantie, et que faudrait-il faire pour la développer ? Jakob Boratyn´ski Quand il s’agit de parler à d’autres comités et partager de l’information, une distinction importante doit être faite entre l’information qui contient des données personnelles, et qui est donc considérée comme sensible, et l’information qui est assujettie à de nombreuses règles juridiques, des données en lien avec des tâches d’Europol. En fait, les informations du secteur privé peuvent être fournies à Europol, mais cela ne peut se faire aujourd’hui que par le biais des forces de l’ordre nationales et des officiers de liaison nationaux qui sont détachés auprès d’Europol. Cela pose problème en termes de rapidité et d’efficacité, et ce problème fait l’objet de discussions sérieuses dans le contexte d’une nouvelle base légale pour Europol, sous la forme de règlements, qui seront probablement présentés par le Conseil européen cette année. Mais l’idée de la fusion de données va plus loin que les données personnelles, elle concerne les nouvelles menaces et les nouveaux modes opératoires. Donc, il ne s’agit pas seulement de données relatives au trafic. Ces données-là proviennent du secteur privé. Contre-amiral Denis Trioulaire Pour ce qui concerne le besoin d’une chaîne d’approvisionnement européenne, je pense que c’est une question difficile, parce que nous devons reconnaître que toutes les technologies que nous utilisons – y compris, de plus en plus, dans l’armée – sont des technologies onéreuses. Et une partie de ces technologies, pour ne pas dire toutes, viennent d’Asie. Nous devons donc réfléchir pour savoir quelle est notre affaire principale, ce qui nous donne un pas d’avance, qui nous permet d’avoir un équilibre, surtout dans le cas des cybermenaces, mais dans d’autres cas aussi. Il est question, dans un premier temps, de cartographier ce qui est important, où sont les trous, où se trouvent les doublons qui coûtent peut-être plus cher, identifier les entreprises qui produisent ces technologies importantes. Mais je ne suis pas sûr que l’on puisse avoir une appropriation européenne de toute la chaîne. Mais sur certains aspects de sécurité, nous pourrions le faire. En tout cas cela n’existe pas pour le moment. Nous n’avons pas ce plan. Donc il est important d’avoir un plan. Pour répondre à votre question, il ne peut pas y avoir de chaîne informatique que nous maîtrisions complètement.
74
4e Séminaire IHEDN de Bruxelles 28 juin 2012
François Géré Pour conclure ces nombreuses interventions, j’aimerais souligner quel a été mon étonnement de voir à quel point les intervenants partagent des points de vue communs, à la fois entre eux et avec le public, ainsi que nous avons pu nous en rendre compte à travers les questions posées dans la salle. Je constate par ailleurs que personne n’a mis en doute le besoin d’une cyberstratégie européenne. Ces discussions et ces tables rondes démontrent qu’un processus est en marche. D’après ce que j’ai entendu aujourd’hui, ce processus semble s’appuyer sur ce que j’appellerai les "quatre C" : la cohérence, la coopération, la coordination, et enfin les capacités. Cela veut dire que nous avons besoin que tous les acteurs du cyberespace se rassemblent, échangent des informations, aient une meilleure connaissance des capacités offertes par les marchés et les besoins des institutions. La coopération et la coordination doivent être atteintes à tous les niveaux, entre les secteurs public et privé, mais aussi grâce à la coopération des agences de renseignement et des autres acteurs, y compris ceux à l’intérieur de l’Union européenne. Je suis ravi de savoir que, dans quelques minutes, vous allez avoir une réunion sur la cohérence et l’intégration du travail au sein des directions et unités de l’Union européenne, qui est un sujet parfois sous-estimé à l’extérieur. C’est une bonne nouvelle pour nous tous. Je vais conclure en disant que nous sommes confrontés à une sorte de dilemme dont l’existence va se prolonger dans les prochaines années. Nous devons donc nous apprêter à faire face à celui-ci. Ce dilemme réside dans notre besoin de législation, d’une régulation plus importante et innovante. Tout cela doit être soit créé, soit amélioré ou renforcé. Il y a aussi un immense besoin de conserver ce qui est essentiel, à savoir la liberté et la prospérité. Nous devons être en mesure de développer une cyberstratégie européenne qui combine ces aspects phares afin de construire une maison sur des bases solides. Cela sera notre défi pour les années à venir.
75
4e Séminaire IHEDN de Bruxelles 28 juin 2012
Vers une cyberstratégie européenne ?
76 76
Summary 2
Welcom Address Vice Admiral d'escadre Richard Laborde M. Zoran Stancˇicˇ
9
31
Questions and Answers
Questions and Answers
The industrial sector facing cyberthreats: State of play and answers Steve Purser Maria José Granero Paris Alberto de Benedictis Gerald Oualid
Current responses from the Member States to Cyberthreats Patrick Pailloux Sarah Lampert Martin Fleischer Jean-Luc Auboin
51
Is there any possible comprehensive response at the European level? GBA Pascal Roux Jakub Boratynski Giuseppe Abbamonte Heli Tiirmaa-Klaar CA (2S) Denis Trioulaire Questions and Answers
"Le Cercle des partenaires" of the French Institute of Higher National Defence Studies is an endowment fund which was set up in 2010 to carry out innovating projects thanks to the support of its patrons: resolving strategic questions, defining societal fundamentals, preparing our country’s future. The Castex Chair of Cyberstrategy was created in 2011 with the support of the EADS Corporate Foundation. We are able to publish these proceedings today thanks to this partnership work. www.partenaires-ihedn.fr 1
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
Welcome Address Vice Admiral Richard Laborde Director of the Institute for Higner National Defence Studies (IHEDN)
Mr Deputy Director-General, Ladies and Gentlemen, good morning. As Director of the IHEDN, the Institut des Hautes Etudes de Défense Nationale, the Institute of Higher National Defence Studies in Paris, I have the great honour and pleasure to open this seminar in Brussels for the fourth year running, on cyberstrategy. This seminar enables the IHEDN to contribute to the work conducted in the European capital regarding defence and security strategy. I would first like to thank Mr Zoran Stancˇicˇ, the Deputy Director-General of the Information Society and Media Directorate-General, without whom nothing would have been possible, since it was through him that the Institute has co-organised this seminar. I would also like to thank the guest speakers who are going to discuss European cyberstrategy. The speakers come from industries such as Cassidian, Alcatel, and Finmeccanica, and also from agencies such as the European Network and Information Security Agency; Anssi, l'Agence Nationale des Systèmes de Sécurité de l’Information – this is our French National Agency for Security of Information Systems – and its British and German counterparts; and, obviously, the European Defence Agency. I would also like to thank the Council Secretariat, the European External Action Service, and the General Staff of the European Union. I would finally like to thank all of you for taking part in this seminar and debating with the speakers. Three round table talks will be organized during the day. The first one will deal with the cyberthreats that industries have to face. The second one will study the current response of Member States to cyberthreats. Finally, the third and last one will look more deeply into the feasibility of a global response at the European level. The question addressed by this seminar is therefore: “Are we heading towards a European cyberstrategy?” As an introduction, I would like to suggest a few avenues for reflection.
First, on the accelerating development of technology Let us look back, if you wish, ten years ago – in 2002. Certainly, the Internet existed. Microsoft and Bill Gates reigned virtually unchallenged. However, in a few years we have witnessed acceleration in the use of the Internet as evidenced most recently by the essential extension of domain names. Simple
2
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
search engines such as Google have become world powers. Social networks, Facebook, LinkedIn, and others have expanded the dimension of communications. This is definitely a new society and another mode of wealth production.
A new society and a new mode of production carrying also increased attacks and threats Ten years ago, we were discussing harm caused by hackers: irresponsible individuals or small groups of anarchists. More or less well organized crime was raging. However, recently a new phenomenon has radically changed our perception of cyberspace: the emergence of political action groups, parastate organisations, and States. Terrorism, espionage, and sabotage are developing forms that are as fearsome as they are insidious. The instruments and methods of aggression have become diversified. Viruses (Stuxnet – Flame) have gained in sophistication thereby revealing the transition from a craft to a real capability that only organised States could have. Some are even making it a priority tool in the range of their military capabilities. It is another political life, a new relationship between peace and war that lies ahead.
Hence, the need for comprehensive strategic action The multiplicity and magnitude of these problems require a general approach which allows the whole to be embraced. That is why it is essential to build a cyberstrategy. This cyberstrategy should focus on four areas: Protection, Economy, Military, and Legal. The dimension of protection: It is not a purely technical problem. The skills are within reach provided that developing them is acknowledged by putting the necessary resources in place. In companies, the SSI managers have the skills and, in general, provide appropriate recommendations in advance. But, are we listening? The real problem therefore lies elsewhere. The real problem is: how aware are the managers, leaders, and decision makers? This process is ongoing but it will still take time. The economic dimension remains an enigma in that the amount of losses for a company are going to have to be clarified to establish damages in direct terms but even more so indirectly: loss of image translates immediately into a fall of stock market value. The military dimension. Just as the steam engine revolutionised the forms of industrial warfare, new information technology has a similar impact. All armed forces, in times of peace, crisis and external operations, must have a full range of cyberspace protection and also response. And finally, the legal dimension: It is an emergency to define, codify, and regulate nationally, at the European and global level. Diplomacy and international law also constitute new issues with still poorly defined contours. We do not know how to describe an attack in accordance with the provisions of the Charter of the United Nations. Can we recognize a cyberattack as an armed assault that invokes the right to selfdefence?
3
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
Governments are responding at both the civilian and military levels. In the United States, the United Kingdom, in France, and in many other States, the protection of vital infrastructures and their operators has become a priority. Furthermore, the extremely rapid development in the field has led not only to following but also to taking into account the information “Cloud” so as to support implementation. At the regulatory level, a fair balance remains to be found between public and private sectors, between civilian and military, between respect for fundamental rights of the citizen, his private life, freedom to express his opinions, and the essential measures of protection which allow each of us to use every opportunity offered by the use of Cyberspace, where prosperity and security are inseparable. This seminar – I hope so – whose proceedings will be published later, will produce a final report intended for the authorities in charge of cybersecurity in a European environment. I wish you a very successful day’s work and fruitful discussions to make progress on this crucial issue for our countries. Thank you very much.
M. Zoran Stancˇicˇ Deputy Director-General of the European Commission’s Communications Networks, Content and Technology Directorate-General Admiral, Ladies and Gentleman, dear colleagues and friends, It is indeed my pleasure and honour to welcome you on behalf of the European Commission. Before starting my welcome address, I want to give you some explanation of why we are here and what is the responsibility of the Directorate-General for Communications Networks, Content and Technology – DG Connect. First of all, DG Connect is responsible for three things: – Making policies in the domain of the telecommunication market regulation; – coordinating policy-making in the broader context of the Digital Agenda challenges we are facing; and, – last but not least, we are also funding a number of Research & Development activities, including the ones we are focusing on here, i.e., Internet Security and Trust.
4
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Just for your information, over the last five-and-a half years, we have invested over €340 million for research in cybertrust and security only. Why are we here today? I think it is important to realise that we are being hosted here today by the European Commission Directorate-General for Enterprise and Industry, which has the responsibility within the Commission to do the policies as well as the research in the wider domain of security. A very important part of their political portfolio is that they are responsible for shaping up European policies that are relevant for industries at large. It is very important to remember that all we are doing in this domain will be relevant for our citizens. But we should not forget that we are also supporting our industry to be competitive in the global market in this domain. This leads me to my introduction. What I would like to do in this time that has been allocated to me is to actually look at the Digital Agenda for Europe, which is our overall policy, which has shaped our actions over the last two and a half years, and which is actually trying to progress economic and social challenges that we are facing now in Europe. As you know, today we have a lot of challenges. One very important element of how to address these challenges is the so-called “Digital Single Market” which I believe will be discussed later on today by heads of governments and states. It is not just another buzzword, but it is a very important element of European policies which we hope will help to get us out of the economic crisis. The Digital Agenda for Europe is just a tool that we are using in order to make the best of the potential that exists in the European economy, to broaden the Single Market and make it a real European flourishing Single Market. What have we done in the last couple of years? We have prepared a number of legislative proposals for policy actions that are trying to unlock this Digital Single Market, including: eID and eSignatures (aiming to provide a secure way to have electronic signatures shared throughout the European Union); data protection; open data (how to share public sector information throughout the European Union in order help boost the European economy); alternative dispute resolution and online dispute resolution in the European Union; roaming, etc. We have also made a very ambitious proposal in respect of Information and Communication Technologies as well as research in the domain of cybersecurity and trust in our Horizon 2020 Research, Development & Innovation proposal. Furthermore, through the Connecting Europe Facility (CEF), which was also proposed at the end of last year, investment in EU infrastructure priorities in Transport, Energy
5
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
and Telecommunications will be put under a single framework. Both Horizon 2020 and CEF legislative proposals are currently being discussed in the European Parliament and Council. Last week we held the Digital Agenda Assembly here in Brussels with about 1 200 people. Many issues were addressed, from process security to research and entrepreneurship integration in the digital world. By getting different stakeholders together, from civil society, industry, governments and Member States of the European Union, we can address these challenges together. One very important element of the Digital Agenda is Internet security, which is one of the key priorities for the European Commission today. Why is it important? I will put it in the context of the European Single Market. If you look at the Eurobarometer Survey, you will note that in the European Union people lack trust and confidence in the Internet. For example, 42% of users had no confidence whatsoever in Internet transactions. In 2010, only 12% of purchases of goods or services were made online in the European Union. This is far from the Digital Agenda target that very clearly spelled out that by 2015 about 20% of the purchases of goods and services should be done online. What does it mean for us, for policy-makers? It is clear that what we have to do is to put in place specific provisions and policy actions that would help citizens and industries build trust in the Internet and the Digital Single Market. Of course, it is not a one-stop shot. We have to engage in a process and we hopefully will get to our targets. A number of Commission initiatives already support this kind of endeavour, but it is very important for us to engage in cooperation with all relevant players on cybersecurity, bringing together particular efforts from both public and private players, with key support from the European security agency Enisa. However, to be frank, progress is not very even across the Member States. What we would like to do is actually put in place specific actions in order to monitor progress and share the best experiences among all players. Where do we stand right now? We have a very clear mandate from two Commissioners and the High Representative Ashton. Commissioners Kroes and MalmstrÜm have agreed just a couple of weeks ago that they want to present jointly a European Strategy for Cybersecurity, to be adopted in the second half of this year. It is clear that the vision of the Strategy stems from the need to improve the overall resilience of network and information systems, to step up the fight against cybercrime, and to develop the EU’s external cybersecurity policy.
6
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
It should also include actions to stimulate the competitiveness of the European ICT industry and to stimulate user demand to provide security functionalities in ICT products and services as well. I also want to make it clear that the objective of this Strategy is not actually to coordinate or actually to impose specific actions to the Member States, but rather to facilitate the set up of support actions and coordination between the Member States. In this context it will be very important to see how to open up the debate that is going on in the European Union with bilateral discussions with individual Member States and also with international partners in multilateral fora. The Commission also intends to come forward with a legislative proposal to improve the overall resilience of networks and information systems across the European Union. This legislative measure should ensure a high common level of security by mandating very clearly the minimum technical capabilities at national level; by establishing appropriate mechanisms for crossborder cooperation; and also, last but not least, by promoting a risk management culture in the private and public sector. So, Ladies and Gentlemen, what I seek today is an excellent opportunity for us to engage with each other in a very open and frank discussion. For the European Commission, I want to reassure you that this discussion will be very relevant. It will be relevant essentially for two purposes. Firstly, it will help us shape our future policies. Secondly, on the basis of this discussion, we will be able to identify some of the recent innovation challenges, which will feed into the preparation of our future programmes for research and innovation.
7
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
8
1 The industrial sector facing cyberthreats: State of play and answers Steve Purser
Head of Technical Department, European Network and Information Security Agency (Enisa)
Maria José Granero Paris
General Secretary, EADS Cassidian
Alberto de Benedictis
Executive Director, Finmeccanica
Gerald Oualid
Security Business Developer Manager, Alcatel Lucent
Modérateur : François Géré
Professor, Castex Chair of Cyberstrategy
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
François Géré Ladies and Gentlemen, we have our first panel. This panel is mainly dedicated to the vision of the industry and also to the vision of the European link, the European Union Information Security Agency, towards what we call broadly "cyberthreats", which are, as you know, as it has been mentioned previously, by Admiral Laborde. Now, clearly, for the industry there are a number of complex challenges which require a lot of thinking, innovation, and, to some extent, investment. Steve Purser Head of Technical Department, European Network and Information Security Agency (Enisa) Thank you very much, and thank you to the organisers for inviting Enisa to come and speak to you this morning. What I would like to do in 15 minutes allocated to me is to give a brief overview of how Enisa sees cybersecurity and what the major challenges are and also to stress obviously how we work with industry and the private sector in general. Enisa is the European Network and Information Security Agency formed in 2004. It is a regulatory agency. It is quite young. About 60 people strong. My role in the Agency is that I am head of operational activities. I am particularly pleased, to be honest, because I am actually a veteran of the private sector. I was for 15 years a Chief Information Security Officer in the banking sector. So, if I talk about something, at least you can be sure that I have been through it myself. The Agency itself is – we operate it as a Centre of Expertise at the service of the Member States. What I would like to stress straightaway is that it is really you, the Member States and the Communities, that do the work. We facilitate it, which is a very scalable model. By working through you, and by leveraging all of the expertise that you have in the Member States, we get a much better return on investment than if we tried to do the work ourselves. What do we do? We essentially facilitate and exchange information on Information Security between the institutions of the public sector and the private sector. By doing this, we hope to get a level playing field in terms of knowledge about what is happening in the Information Security sector, alignment, and harmonisation. Let us turn on cybersecurity. We did not hear anything about it 10 years ago. It is a new buzzword that has popped up. At Enisa, cybersecurity is largely synonymous with good old Information Security in many ways. A lot of things we are talking about are not new. They have been here for a long while. So let us not forget that.
10
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Where cybersecurity differs is the way we look at things. When we talk about cybersecurity, we are generally looking at the global aspects, how things can have an effect in a global environment, and therefore, the advances in cybersecurity are more likely to come through political coordination and coordinated action across a wide geographical area. We have known from EEAS that you cannot do global security within national boundaries. Well, you cannot do it within European boundaries either, of course. An important element of this approach – and this is happening through the Commission and Enisa, of course, is to coordinate everything we are doing with other global powers to make sure that we are aligned on that basis as well. So what are the issues? Very briefly, we all know it is about People, Process, and Technology. Of course, these are the three key words. A few years ago, I used to think People were the weakest link. Now I think it is Process. Especially in a cross-border environment, we are very weak in terms of Process. But I will just give you an idea of some of the issues we are fighting against. I am sure many of these will be quite familiar to you. In the People area, it is quite clear that the government structure we have at the moment insofar as cybersecurity is really not adapted to the global threat. I am talking about international governance, here. There is an overlap of mandates. There is a lack of clarity. There is a real danger, I think, that institutions will get in each other’s way if we do not converge on a clear structure in the future. Of course it is very easy to say, but very difficult to achieve in practice. Equivalently, rules and responsibilities need to be well defined, not only on the international level but also at the national level and at the European level. This is still something that is quite challenging, especially if we introduce new concepts, such as cybersecurity. And finally, on the People, I would stress the need for communities to align. It is great to be with you today, because many of you come from different operational communities. That gives me the opportunity to give the point of view of Enisa, and you to give us your point of view. I personally think that aligning communities – some military, law and order, traditional marketing and intelligence committees – this is even more challenging than the cross-border challenge. Because we tend to work in silos and there are other barriers to be broken down. Of course, I am not saying that everyone tells everyone else all of their secrets. That would be an inappropriate way to dialogue with each other. But we can certainly talk a lot more than what we do at the moment. So, moving on to Process. There is no great structure at the moment for cross-border processes inside the security. Information sharing is good but could be a lot better and needs to be a lot better. The community aspect comes here as well. In particular, crossborder mechanisms for response need to be improved. We are just starting to put together – this is non-military, of course, I am talking here really much more about the market community – we are just starting to define the standard operating procedures for what we would do in terms of a cyberresponse.
11
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
Technology is the final element of the trio. It is perhaps in some sense the least important, I think, although I am not trying to mean it is not tremendously important. But I think sometimes it tends to have the start position in conferences when perhaps it should not. In Technology we certainly need more than inter-operability. And we need more inter-operability of security software, including at the conceptual level and the lines of the security software. If I were to attack an information system – and I used to do this professionally – the first place I would look for is the interface between different technologies, because they speak different languages. They have different ideas about what they are talking about. You are almost bound to find weak points there. We need to start to define – as indeed we are doing – minimum-security standards so that we do not have a weakest link. This could also be extended to the geographical context, of course. We need to remember that the good old core principles that we have been using for the last decade or so still apply in this environment. We still need defence in depth. We still need compensating controls. We still need the avoidance of the weakest link. So the basic is still valid. The fundamental principles still apply. The same methods and tools will probably be used, although in a different context. We need to adapt them for this context of global security, and that will take some work, of course. But let us not reinvent the wheel. There is a real danger when you bring out new terminology such as cybersecurity to rush to produce new cybersecurity things. It is very important to sit back and think: all of this is really just a new way of looking at an old problem. For instance, let us not try and produce a whole new bunch of standards when we have perfectly good standards in place that we can use with many more adaptation. The key instruments, I believe, for moving forward in cybersecurity are: – Passing legislation: Very powerful. Although legislation should be used sparingly, because this is a very fast-moving environment and legislation moves slowly and is difficult to change. We do need it, but we need to use it wisely. – Standards: Very important. We need to increase the Enisa’s own standards. But I really like the idea of using best practices and more awareness and information sharing. The bottom-up approach in this area is quite powerful. Best practices are undervalued, and we should push them more. In a way, of course we need the top-down in defining the strategy, but using bottom-up methods to spread experience and to show how our policies should be developing, is extremely important. This is very complimentary to the Commission in the sense that we tend to work more on policy implementation. So we tend to get our hands dirty. We talk a lot to the operational communities trying to find out what their nice-sounding policy statement means in practice. What are the thresholds? What are the trade-offs? Is it economically viable? Is it economically penalising for European companies? And so on. And this is how you should think of Enisa. Both of the Executive Director and myself are trying to move the Agency more in this direction. Of course, through the stakeholder communities.
12
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
On Enisa and the private sector. There is a lot of opportunity for private sector to work with Enisa, and we spend a lot of time developing contacts within the private sector. My role, for instance, consist in spending half my time going around talking to industry and other groups, private sector companies, and, of course, private sector counterparts. We do take this very seriously. I will mention a couple of mechanisms by which industry can liaise with Enisa. The first is through what we call working groups. Almost every piece of work that Enisa does. We try to leverage the scalability of the community and we form virtual working groups or concrete working groups by taking expertise out to both private and public sector. This is a great mechanism for ensuring that real experience is put into the deliverables that we produce for the end of the year. The idea of this is to mobilise communities towards a common goal, and to leverage on this expertise that is there in the market. There are many advantages to participating in a working group, and all communities are welcome. It gives a chance for participants to influence future policy and legislation, because we do advise the Commission and we give them a lot of good data which helps in their decision-making. Of course, it gives you a chance to learn from your peers. And let us not underestimate this. We found through our working groups that a lot of very interesting information enables companies essentially to become more competitive and to improve their own processes. And it gives you a chance to influence standards and best practice. The second activity that Enisa does is community building. It is extremely important because the core mission of Enisa is to facilitate the formation of a strong NIS community in Europe. We try to support existing communities in any way we can to help them do that effectively. And we try to build new communities when there are obvious gaps in the market place. So, a few examples of new communities where Enisa has been active in fostering their creation: • The financial ISAC, which is an information sharing community for the financial sector. • I think all of the European Public-Private Partnership for resilience, which is an initiative of DG INFSO, now DG Connect, and basically comes under the regime of the CIIP Action Plan. A very interesting instrument, incidentally. Very challenging to create a Public-Private Partnership at the European level. • And finally Enisa coordinates the Pan-European Cybersecurity Exercise. There was one in 2010. There will be another one in October of this year. We found this to be a very good community-building model. We started off with only a handful of Member States who were enthused by the idea. Now we have all 27 involved plus three EFTA states. So, this was really very successful in terms of building the community. In the existing communities, we give a lot of support to Certs and to the Critical Information Infrastructure community and will continue to do so.
13
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
Some examples of concrete things that we have done in the private sectors – that is the subject of this panel – whilst, of course, steering the goal to achievements of things like the Digital Agenda and establishing public policy, or cloud computing.We worked together with the Cloud Security Alliance to bring a very practical tool for companies to be able to assess the strength of offers of service providers according to a number of security criteria. It has been extremely successful. We have had people like NIST in US and a number of other people asking if we would like to do something with them in this area. We have done a reasonable amount of work on securing mobile devices, which is still one of the biggest challenges for the future. Let us not forget that a mobile phone is a computer with phone functionality these days. There are still a lot of issues, even though we have come a long way. So there is a lot of work to be done here, and it has, together with the community, produced some interesting results. We have a lot of work going on in the area of privacy and trust, we work closely with DG Justice, the DPS Software Article 29 Working Group and the umbrella associations have coached the Commission on how this new legislation will be implemented and developed. We have done quite a lot of work on security breach certification and data brief certification. In the States, the SEC, have just introduced a new more powerful reporting procedure. It is going in the same direction. I think this is going to be very important for the future in Europe, and it is going to be very important to get it right. So it is going to be very interesting to see how this develops. To conclude, what I would like to leave you with in terms of how to think about Enisa is that our core business is really to facilitate dialogue. That is what we are here for. If we manage to get stakeholder communities together to agree to do something that is improving the status of EU security, and then we drop out the loop: Great. Then we have really achieved what we are supposed to do. And again, I stress we would like to move much more in this direction that we write less reports ourselves, but we get the community to produce more reports with our inputs. And this is why, incidentally, Enisa is very interested in being a member of steering boards and advisory boards. Because it is a very good use of a scarce number of resources. I will just give you an idea: I only have 35 people in my Department. So obviously the schedule is limited. The second point is that we will continue to support the Commission and Member States in formulating Enisa security policy. I stress the word support. We do not lead in anything. That is not our role. Hopefully, we are good at supporting. We gave a lot of input into the Internet Security Structure-G, which is now muting into the new Cybersecurity Structure-G. And finally, we are very keen on going even further in our collaboration with all the different communities, including the private sector, in order to help, I am sure, this harmonisation of ideas, setting of common goals, and ensuring that we achieve synergies and not anti-synergies in the European space.
14
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Maria José Granero Paris General Secretary, EADS Cassidian Good morning, ladies and gentlemen. In fact, it is exactly as you have said, EADS is the definitely the leading European Defence and Space company. But in fact, we have been taking a look into other movements of cybersecurity in the last years, and especially in the last one and a half years, when we took the decision to create a dedicated line of business in order to focus on the development of this business that is now happening in the market and in order to be able to offer the solutions that the market is asking for. In fact, we are currently in the process of establishing these companies, developing new products, selling these first solutions to the customers, as well as to governmental, institutional, and private customers. Why did we decide to create this line of business dedicated to cybersecurity? • Because we realised that in every market, there is always a cyberthreat that has happened. • Because the number of attacks is increasing in recent years very quickly. • Because of the gravity of the attacks: espionage, cybernational offence, attacks from other countries. These attacks require now real time reaction. You must react very fast. If you do not, you risk losing a lot of information that is very valuable for your company. This speed needs to be followed, and it is not always the case. Moreover, we are now entering a new dimension of this cyberwar that is asymmetric. We call it asymmetric, because that means that in the past, this is related to the other products that we manufacture at EADS. You could have a lot of fighters, you could have a lot of missiles, and you could consider that you are protected. Today, if we have a cyberattack, it is not useful enough. You need to have other activities in order to protect yourself. We have identified that organisations have a higher vulnerability, because of some of the elements that my colleague from Enisa mentioned. The IT infrastructure is being connected to the Internet more and more. That is its weakest point. All of the time, more and more employees and more and more organisations, especially private companies, are using more and more mobile gadgets. That means that with the policies that are developing and the new devices that are connected, new threats appear in a company. We need more security for this new harbour that is being installed in a company. And then there is also cloud computing. Many organisations are working in cloud computing, but the solution is still not evaluated on the market. We can give some figures on how big it is today and how companies – especially private companies – must start to realise this danger.
15
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
Some figures from Mandiant, a US cybersecurity consultancy company: • All of the companies attacked – 100% – have an antivirus. This is not enough. • 94% of the companies attacked were informed by third parties. For a certain period of time, they did not even realise themselves that they were being attacked. In fact, this time is an average of 416 days before a company realises that it has been a target. That means that at one moment a company can react, but it has already been at risk for a long period of time. Therefore, it is really important that private companies, top management to increase their awareness about this problem. Not only private companies, but also governmental and institutional organisations are now really being paralysed. This is the reason that we have this action, but in the private sector, the need is not so well acknowledged. It is really important to establish a dialogue with the top management of private companies in order to make them aware of these risks that could represent a disruption of services, not being able to continue their daily operations. Recovery costs after an attack: figures from Symantec show that the cost of this cybercrisis is €2.5 million. The exercise to bring all of this forensic analysis – a lot of people in your company analyse your data in order to solve the problem. So there is a cost. There is also a cost of loss of intellectual property and sensitive data. Confidential data is – you can read it in the press – that Chinese organisations are targeting especially European companies with their establishing joint ventures in China. There is also a loss of image. For instance, the case of Sony last year who were sued by lawyers and in fact this could cause an insurance company up to €2.5 billion. Now we start to get some other money with figures about how big this risk is so that we can establish this dialogue with the top management of the companies. The questions that the top management of the companies should have are: • What would be the economic/business impact if I were to receive a cyberattack? • What are the risks of not doing anything – because this is a decision, not doing anything – What are the risks and the potential costs? • Are security recommendations implemented? Very often, sometimes you do an exercise as far as the crisis management is done normally. Do you implement cybersecurity recommendations? How do you check that they have really been implemented after six months or one year? Maybe they had only stayed in a presentation, because implementation processes in big companies are very slow. • Could we have detected the attack earlier? Do you have the right internal mechanism in order to inform yourself that you have been attacked earlier, such as a security operations centre? How can you protect yourself?
16
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
• Is your IT Department prepared against cyberattacks? Have they ever been trained? Are they ready to cooperate, to work together with all the forensic experts when they come into your company to work? There are several things that need to be prepared, and the top manager needs to prepare in advance the crisis management models. Do you have the human resources to deal with more than one attack at the same time? Do you have enough people specialized in cybersecurity? If not, are you ready to call very fast, in real time for help? Who do you call for help? Are you working with a trusted partner that you know that you can work with and that knows your IT network in order to solve the problems very quickly? It is very important to increase awareness among the top management. They are aware that they have a risk of consequences with compliance. We have started talking about data protection. If you use employee data, you could be sued by employees. If you lose IP data, maybe subcontractors or supply chain may be affected. You take a risk of being sued by several parties. Where there is an economic risk, if there is a possibility that you lose sensitive data, your company could go bankrupt. We know that some companies were strong for years and then went bankrupt. At the end of the day, you should ask yourself if you have the adequate crisis management plan in place to ensure that it protects your company against cyberattacks. We decided that the goal of EADS Cassidian is to work with governmental, institutional, and private consumers in order to support them to go through this process, and to try to help them to find solutions through training. That is the reason why we are trying to develop a Cybersecurity Training Centre to train our own employees, because we know it is really difficult to find really good cyberexperts. But we also want to secure our customers to train their own people. We are developing a Secure Operations Centre, because some companies cannot afford to have all of the services themselves. They are conscious of the advantages if there is a SOC. Certain companies are being observed because at the end of the day they can share experience. And, of course, coming to our core activities, we offer a trusted infrastructure solution in order to integrate them. Today in Europe we have a lot of small and medium-sized companies offering a lot of small and very good solutions, but the mission is how to integrate them. Not everybody today is able or ready to do it. Finally, we are also following all of the mobile devices very closely, and are starting to offer some solutions in this area as well. As you see, we are not only focussing on technologies but also on processes and people. You must find the right balance between the three dimensions. Our goal is to become in five years time a European leader, recognised in cybersecurity and to be able to offer to high end customers the solutions they are expecting from us.
17
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
We need to develop new defence models, because we are required to act with more agility, act faster at the end of the day. We recognise we need to cooperate with entities. We are in contact with Enisa. We are in contact with IHEDN, so we are working very closely with them and also with many other partnerships that we are creating today in Europe. We are following very closely all technological evolutions but also paying attention to training and processes aspects. We are taking care of the organisation and human resources aspects. As I said, training is key. This is the reason why we decided to develop the Cybersecurity Training Centre. To give an example, a few weeks ago the National Security Agency in the States recognised that there was a lack of 10Â 000 service persons in the States. So what we need, they are now doing partnerships with four leading universities in the States to develop these people. This is something that should be done in Europe as well. And we are taking this idea internally. Last but not least, there is a factor that I did not mention before. We should take into consideration that we must find the right focal points when we talk to the other organisations, because in cybersecurity it is difficult to find who is the accountable person? In many organisations, it is a mixture between the Chief Security Officer, the Chief Information Officer, and even the Chief Officer for the CEO who is responsible for crisis management. So, in fact, you need to be able to put these three people together around a table in order to find the right solutions toward any organisation. As I said, we welcome all European corporation activities, for instance the creation of the European Cyber Appliance Centre in March. We are following initiatives like this led by Europol. We have agreed to work with them. We also follow very closely activities like the one led by Tunne Kelam, the Member of the European Parliament representing Estonia, who is trying to analyse how cybersecurity could be organised at the European level, what should be the role being played by private industry, how the small and medium-sized companies should be integrated in this cooperation, and how a consideration of industry is required. Maybe you need a certain size to deal with certain problems, and at the end of the day, how to build with a certain development. Alberto de Benedictis Executive Director, Finmeccanica If the response to the threat were as pervasive as the opportunities we are afforded to debate it, Cybersecurity would be a problem of the past. Unfortunately, this is not the case by a very long stretch and the problem is compounding by the day, and ever more stealthily. The hard truth is that we are nowhere closer to appreciating, let alone controlling, the phenomenon than we were a few years ago, and in this interim the sophistication and pervasiveness of our foes has grown exponentially. What we are experiencing in the high value corporate target environment, and I consider our aerospace and
18
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
defence industry to be one of the more attractive attack destinations, is an aggressive approach to breach our systems, dissimulate the objective, retrieve and extract valuable corporate IP and persist in-depth, retaining the ability to monitor and access at will. This level of advanced persistent threat requires significant investment in time and resources and necessarily is motivated by the high potential gain it provides the intruder. There is no doubt that the massive scale of the efforts being monitored by companies like ours and by institutional operators alike, belies a very sensitive game, with the global data network a covert battlefield where the rules of international commercial engagement are routinely disregarded and the risk of exposure is inconsequential. I distinguish between three major categories of cyberrisk: the first, which comprises panoply of offences, ranging from identity to monetary theft, from fraud to child pornography, falls squarely in the traditional criminal behaviour camp. It is clear from statistics that criminal use of the Internet continues to grow at pace because it offers the lowest cost, lowest risk option for those bent on exploiting weaknesses in security. It is remarkable how we are still much more aware of physical safety, than we are of Internet safety. Cybercrime is not a complex endeavour; it just exploits the material difference between how we protect ourselves physically and how we do so virtually. In the real world we spend personal time and money to ensure our property and life are adequately safeguarded. In the virtual world, we delegate our protection to the infrastructure, access and software providers that we believe are much better placed than ourselves to guarantee that our virtual domain is secure. What we don’t seem to realise is that none of these operators have or could have the magic wand to protect against all the threats that plague the cyberworld. Targeted attacks, aimed at stealing, defrauding, exploiting do not need to operate around the artificial barriers of protected systems. They are disguised as friendlies until it is too late and the damage is already done. Your security software updates your signature database every time you log on, because somewhere, someone has already been attacked and that malware happens to have been detected, catalogued, and disseminated to protect others from the same threat. I believe that around 80% of our infrastructure vulnerabilities lie in the easy to address category and could be defeated and the threats removed or deflected, if we as individuals and organisations took a more aware and active approach through proper education, common sense and straightforward technical measures. We seem to have no reservations, for instance, in inserting a flash drive which has been handed to us by a friend, an associate or even a stranger, into our PC, and through it, into our company network. It would take very little, certainly for corporates, to ensure that, at a minimum, no drive is connected without prior verification and validation. You wouldn’t leave your car unlocked in a busy street with your keys in the ignition, would you? The second category of cyberrisk is what I categorise as the protest threat; it takes many shapes and forms, and you are all aware of the denial of service attacks regularly perpetrated against major corporate or government websites. If you believe your mission is to annoy and disrupt, almost anyone today can become a "hacktivist". These attacks are typically short lived and in all likelihood harmless except for the service disruption they cause. However, more subtle and persistent attacks attributable to protest or politically inspired groups can escalate quickly from a nuisance to a problem. Such are the countless data thefts from government and private websites performed for demonstration purposes, but where the subsequent disposal of the data itself is left to the goodwill of the perpetrators. Increasingly, this information is passed on to other less ideologically motivated groups, willing to pay for it,
19
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
and then marketed across the Internet through digital supermarkets. In this Cyberunderground mall not only is data bought and sold, but the shelves are filled with malware tools rated to defeat most if not all commercial protection software and devices. Thirdly, and the biggest Cyberrisk in my dictionary, is the threat to Government and enterprise from wellendowed and likely State sponsored groups, where the most sophisticated customised threat technologies are being developed and deployed. These are not only the so-called military grade systems, developed to test the military networks and in general the defences of a sovereign state or an alliance, but the advanced persistent threats that go after corporate intellectual property, test the resilience of critical national infrastructure or probe system weaknesses and embed stealthily for future exploitation. Why are these threats particularly pernicious? These attackers are not resource constrained, they can deploy large numbers of code writers in a systematic approach to develop advanced malware and test it, before deployment, against any commercial grade hard or soft protection. This is a very difficult threat to detect because it is designed to disguise its origin, dive deep into the network, host itself stealthily as a benign software routine, mask its intent by executing sporadically, pursuing the extraction of key data about the network’s vulnerabilities and intellectual property or compromise information on which decisions are made. This is the where we are placing a significant investment as a Company, is key to securing our own infrastructure and is an area that sits at the core of our Cybersecurity business. Within Finmeccanica we have been building on IT security for more than a decade and we operate two Security Operations Centres, one in Italy mainly for the unclassified domains and one in the UK for restricted networks. We have over 3000 customers large and small, including a number of government agencies and critical infrastructure providers. Our business employs over 600 Cyberspecialists and is growing annually at double-digit rates. We have our own laboratory to analyse and test software and devices and develop custom capabilities to address the highest grade threats. Earlier this year we have secured the largest Cybersecurity contract ever awarded in Europe, the Nato Cyberincident Response Capability, which is intended to provide Nato and its more than 50 Commands in 28 countries, with a state of the art capability to detect and respond to Cyberincidents across its data networks. The significance of this effort is the realisation that response is where the key to Cybersecurity lies. In the domains in which we operate, our experience tells us that there is no such thing as a network that cannot be penetrated unless it operates in total isolation from the outside world; and I don’t mean that it has no Gateways to the Internet, because to be truly isolated it would have to be inaccessible also by external media. There is, however, such thing as a network that is alert to unusual behaviours, can react quickly by isolating and containing the compromise, and may also deceive the perpetrator with the illusion that the breach is successful. To achieve this level of network reactivity means operating in a different dimension from where most IT networks are today. It requires active cybermanagement of the IT infrastructure with layered defence as the only robust approach to protection. It means, for instance, that the Network design needs to be re-evaluated to ensure it is appropriately compartmentalised. It means full packet capture applied to all Gateways. It also means that all nodes need active monitoring and dynamic configuration, and that event recording, management, and analysis, prior to, during and after, are core to detection.
20
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
But this capability is ultimately only as good as your IT security staff, and this continues to be one of our major areas of development. There is really no technology substitute to a well-trained, experienced IT operator, who has an accumulated in-depth understanding of the problem space. Because these skills are so difficult to develop, it is an unlikely option for most corporate or Government IT network operators to generate internally the level of capability that would be required for effective protection, if anything because the likelihood of their exposure to the full panoply of risk is very small. This is why we have been operating SOCs for more than a decade and expanding our customer environment to include government agencies, infrastructure and service providers, large and small corporates and financial institutions. Some of these customers operate in sensitive domains, such as defence, where the attack vectors can be highly sophisticated. Operating across a broad slice of IT infrastructure offers unparalleled visibility over the threat spectrum and builds a strong appreciation of the behind the scenes dynamics of the Cyberunderworld. Our SOCs allow us instantaneous deployment of the most relevant software tools across multiple networks, high speed scanning of Gateways and nodes to detect unusual behaviours, monitoring of Internet communities to divine the next threat vector. Additionally, we have recently completed installation of a dedicated high performance computing capability at one of our locations to enable near real time analysis of terabytes of data. However, no matter how strong a single team and extensive its experience, it is very important to leverage this capability over a broader community of trusted security providers. This is where the policy debate is currently developing in the UK, and where a lot of thought has gone into possible models for interaction between communities of interest. Our team is working with Government and with other British companies on the mechanics of a hub and node model to enable better protection of the national IT infrastructure and with it the economic environment in the country. The nodes are intended as joined up industry clusters of trusted participants which would also include Government departments that often share similar attack vectors, whereas the hub is a joint Government specialist node that takes feeds from the clusters and, after sanitisation, disseminates them as appropriate to the broader community. We are part of the defence industry cluster which, with finance, is one of the first to be stood up and where confidential intelligence sharing has already commenced. This takes me briefly to the key question for today which is what is the scope for a European wide strategy for Cyber? I believe that what Enisa is doing to raise the Cyberawareness and an incidence response capability across European nations is an important step in establishing a culture of safety across the EU. Europe’s IT infrastructure is the backbone of the Unions’ economic activity and social interaction, and its welfare will very much depend on how well we are able to protect and nurture it. Raising the security standards across the EU is of paramount importance to companies like ours, with operations spanning across multiple countries. And because the infrastructure is effectively borderless, its security may only be as good as its weakest link. Where I hope the Union will share our vision, is in resisting the temptation to address the problem through regulatory frameworks. This will not work in an environment which thrives on technology advantage, low barriers to entry and high rates of change. I am supportive of pragmatic workable solutions that rely on the right actions by operators who believe it is also in their best interest. We have partnered with Chartis, one of Britain’s major insurers, in the
21
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
launch of Cyberedge an insurance product to protect companies from data loss or breaches, where we will provide their clients with cyberincident response. This is an example of a market driven response that has the potential to raise better awareness of the Cyberrisk in the corporate boardroom, where decisions on investments are made. Where the EU can certainly lend a hand is ensuring that there is adequate awareness and understanding of the threat environment, an appreciation of best practice and the encouragement of those firms that actively pursue a tight information assurance agenda. As I said at the outset, most of the problem can be dealt with minimal investment, but even here there is still a long way to go. Gerald Oualid Security Business Developer Manager, Alcatel Lucent First of all, I would like to show you what we are providing. We are providing projects to service providers, and we provide some fixed networks and IP networks. We also provide projects to strategic industries, to the large companies that have subsidiaries around the world. We also provide projects to enterprises. We provide end-to-end turnkey, when we provide the network, when we provide services, we have to deal with security. With the security, in Alcatel Lucent there are three axes. The first one is about the Solutions. We have to implement security features in our products. We also provide an Apsirt, which means to be the contact for all the customers with the vulnerabilities that we can find out in our products. We have to provide the information to the community, because they have to solve, to fix, and to resolve the problem. The second aspect of strategy is Standards & Norms, the active participation in the definition of standards. We have a research team to find out, working in the security workgroups, the equivalent. The definition of the standard is the data file X. 805. They also deal with patents in security functions and work in European projects of value. The third part, and not the least, is the about Services. In this Division, they provide security services that do not develop any security problems in integrating the final product. They take account of security in the Trunkey Projects. When we deal with a Trunkey, we deal in the network, and the project must be secured. We are a customer for the Telco, the service provider, as well as to large enterprises. We now have a lot of pure security projects, because the customer asks us to provide security for their premise and also to improve the security of their premise and process. What are we doing in our security services? We are providing the whole range. We provide consulting, because customers ask us to provide security policy. The first step in a security project is to provide the awareness and the security policies to be aware of what must be done in the company. We also make a lot of business continuity and disaster recovery processes.
22
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
The second aspect of our services is to design and implement security. For instance, when we are implementing an IMS network, or LTE, mobile, or CCTV, or now the Cloud Computing, there is always end-to-end security architecture to provide. We deploy the security systems required as per architecture. We deploy the security bricks. What is important is to make the security simple so that we do not have to give new products and to be in a security system that is difficult to exploit. We can also provide security turnkey solutions for all of the web farm protection and to make controls. Most of all, we provide security services. The level of security for the network or NIS is the least secure part. It is not the most product part. That is why we want to provide a Security Operations Centre. We are pushing separation of duties such as 27001. There are people managing the management of the equipment, and there are people who are providing the control of this equipment. At Alcatel-Lucent, we strive to make two different teams. We have a NOC who takes care of the management of the equipment and the SOC who only provides the control. In the phase of control, we provide prevention services. The first one is the Cert-IST. For most of the last ten years, we have been operating the computer response agency to give innovative advice and applications to our customers. We provide vulnerability scans to find out what kind of vulnerability is in the network and to define a plan of attack. We also provide compliancy control. On reaction services, we provide log analysis, incident detection, and reporting activities. We have found a huge evolution of the threats. Five years ago it was easy to attack a system, because all of the customers lacked protection in front of massive attacks via virus, and there was no global protection. Now, every company has antivirus. They also have firewalls to protect their assets. But now there is a time reduction between the discovery and how the cyberattacks can use it. They are called zero-day attacks. There are also more and more targeted attacks, such as botnets and DDos attacks. We have a lot of customers in the financial and industrial sectors, and we have found that in front of the current situation, there have been several attacks. For instance, during the financial crisis, the financial companies were attacked more than the others. Sometimes we see – when there was a problem in Mexico in the sea because of the oil companies – a lot of attacks in the oil companies. We also found out that the cybercriminals are becoming more and more professional, because they find out more remedies before the developer can find out. Now, we can find new remedies on the Internet. For instance, a huge attack where the cost of spying a new attack with botnet was about ₏50. And now, if there is an attack, if the person who wants to attack is not a professional, he can ask to compare the virus to the system. It is now difficult to bring about awareness to people and to say to them, be careful, when you receive an email you do not always have to click on the email. And also, it is not because you receive an email that the origin of the email is what it seems to be. So, there is a lot of evolution of motivations and means of attacks. A few years ago it was only a few students. They wanted to prove that they were qualified and expert in the system. Now, there is a background economy to provide the attacks. They are facing a lot of
23
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
blackmail. That means that if someone has found out your capabilities, he can contact a customer and say, “if you do not give me money, I can go in to stop your system.” In that kind of system, these kinds of attacks were mostly to stop the continuity of the business. Attacks such as the APT attacks, the Advanced Persistent Threat lead to a lot of data loss. It is very difficult to find out if there is an attack, because the system will not stop and they are going to find out and to steal all your confidential data, such as patents or data about your customers. It is very difficult, because there is no secure system in the antivirus. You have to find a new way to detect this kind of attack. Another one is Cyberhacktivity. These kinds of attacks are quite easy to avoid, because they only attack web servers that are not very well secured. It is important to secure all Internet aspects. It is useful to secure the outside point of contact of Internet, but you also have to know that 70% of attacks come from the inside. They can be from a contractor or from people in conflict with the company. There are two kinds of attacks now that you can find out. The first is industrial networks. In the industrial networks,they are all connected by IP, but the system is based on old Microsoft, and they are not fixed Microsoft. The editors are losing and they do not want to correct these kinds of systems. So the customers have to provide new services to protect the environment, by IPS, and also by Firewall, to make sure that the system can be secure. Another kind of attack comes on smartphones. The smartphone is very useful. It is always connected to the IT of the company. You have mail, you have your entire network, all of your work mail, and all of the information of your enterprise. A lot of buyers of attacks can find out all of this information to send to another one. With the industrial networks and the smartphones, we are facing the situation of DIS 10 years ago. So we have to deal with these new kinds of attacks. All of the customers said, “I do not want to invest in security, because I have not had any problems in the last few years.” But now, we can see it in the press, it is not a question of “if” I am going to get attacked but “when” I am going to get attacked. So, we have to detect the trouble, and also to find out a solution to be more secure. When we explain a new system, all of the time we can be secure as the best of the breed, but very quickly the security is not an On/Off process. There is going to be a decline during the time, because security events are intangible. You find out that you have got security troubles when you find the trouble or when you are told that you have a trouble. A lot of times platforms diverge in time, because of the team turnover and the loss of knowhow. Temporary situations are set up in emergency mode, and then are forgotten. Pre-requisites are also forgotten. We often find a lot of trouble in the Firewall. Because of all the troubles, companies are losing their way about policy. A lot of customers think that because they have a strict security policy, everyone is safe. But, you have to check all the time whether the security policy is correct. The first question customers face is how to measure the result of the security policy. That is why they need a Security Operations Centre to provide that kind of information.
24
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Also, they have to justify the requested investments. CEOs are always asking the SSI or the Security of Risk how well the system is working against a virus such as Flame and asking, “Am I targeted by this kind of attack?” It is important to provide this kind of information. Too many companies are losing information about what is happening in the network. That is why it is important to implement a NOC and a Threat Management Centre. In the control, it is to detect the troubles. We have seen a lot of customers who want to have the work done by the same team, and they always have troubles because all of the resources of the company will be focused on the resource management and not on control. When there are attacks, they will not be able to find the trouble. It is therefore important in security control for us to get back to basics. That means they do not have to make a huge architecture to find out. You must have a pragmatic approach. That is why there are three aspects about security control. First, you have to find out about the attacks. That means you have to make a long analysis about the Firewalls, the gateways, the VPN, and the IDS. About this kind of project, it is very important to know that a lot of customers do not have a good policy for logging all the information. The second aspect of security control is to find out about bad behaviour. We have all of the logs of the proxies and Mail, and we can find out a lot of information. There is also some compliance control from SOX, PCI, and Nerc. The SOX can provide this kind of information. It is important to know that 70% of the attacks have used old vulnerabilities. So it is important that companies have vulnerability management under control. There needs to be a trustful Security Watch. The company will not apply all the elements, because the work is too vast. They have to detect the problem and what needs to be focused on to be protected against attacks. They have to find an effective supervision. That is why “back to basics” is important. We have seen that a lot of new attacks with Flame and others. We can find out this problem in the log files, because you always have some information. For Flame, if all of the servers are not protected, you can find in the log file a lot of information to find out which of the servers were attacked. Another problem to know about this attacks, for example, for phishing. A lot of the weak points of the customer are at the workstation, because the fix was not well done. And that is why a lot of companies have some phishing attack and you really do not help them. You have also got to provide some prevention services. I think the prevention services are the most effective because you are not acting under an attack. You are given time to protect your assets. First of all, there is a Security Watch. It is also the Vulnerabilities Scanners. The tools are well done, but the most important part of the work is to analyse the report and also the security development. Another important element is the Conformity Management of the Firewalls, because there are too many logs due to the fact that a lot of people do not know the flow matrix. They do not know the history of the open flows in Firewall. They do not know the impact of new rules. So they have lost the control
25
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
of Firewall. This kind of control must be back, and as a result there will be fewer attacks in the system. Against cyberattacks it is important to qualify the security event. That means to make some investigation to detect the false positives, because the number of security people in the companies having the profile is not high enough to find out if attacks are very rare. So it is very important to focus on whole attacks. The second point is to inform about the incident. That means to find out all of the information about the attacks, and also what the technical devises are implemented by the incident. Then, of course, it is important to detect the damages of the attack as well as the potential impact, because the reaction of the company will be different. Last, you need an Action Plan as well as an ease of use and an Action Priority, because zero-risk does not exist and the company will never be 100% secure. So they have to make a choice on risks. At the Security Operations Centre, they have all of the information to make the right decisions. Something very important is also to give the information to the management. It is a key for security. For security, you have the top-down approach that is important because it can give money to some projects. Top-down is also very important because after implementation the management knows the real level of security and how it is a protection of the services. So it can be used for the CEO and also for the Risk Manager. To conclude on the Security Operations Centre: Security is more process than techniques. The most important element is to get back to basics, because we have seen too many projects going down, because people want to make a huge project and they forget what it is for. We have seen that they are always missing consolidation of the security level. There needs to be a committee of interest to give some information about security and also to compare what the security is inside.
Questions and Answers François Géré You are British but representing Enisa. As a matter of fact, a few weeks ago I had in Estonia a very interesting discussion with Baroness Neville-Jones. And so my question is about cooperation, UK, States, and the EU. That means that, during our conversation, she made the case that cooperation may be good – at the European level, it should be good – but first of all, let us build our British cyberdefence. How do you combine the approach of the industry which, by definition, is transnational, the vision of the EU, which is European, and maybe the tendency of a number of States to consider that, first of all, they need to be ready for their own sake, own protection?
26
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Steve Purser I think about it as building blocks. If you are going to build a security house, then every one of the bricks needs to be consistent and wellmanufactured. I think there is a need, nevertheless, to take into accounts the global aspects and cross-border aspects a lot earlier in the process. And it is an ongoing thing. I am sure that when the Baroness said this, she was expressing an idea that we have to get our own shop in shape, but I am sure at the same time she is fully aware of the need to align, not only with Europe, but with the rest of the world, so that what is done within the UK or in any other Member State, is not incompatible with what everyone else is doing. My colleague referred to layered security. I quite like this idea. It is true that a lot of architectures are actually developed in terms of layers, and each layer builds on the other one. So, even at the crossborder layer, you could say if you were to create a very elaborate cross-border architecture for want of a better word, it might form one of the building blocks that is not successfully put together itself. Two things: I do not think it is inconsistent, but I do really think that the cross-border reflection – and the cross-community reflection – needs to be much, much, much earlier in the whole process. And then we have 27 solutions for a problem, and when you try and put the 27 solutions together, it is extremely difficult to do so. In design we talk about getting the security as though you are into the process as possible, typically in the risk analysis followed by the design phase, certainly not in the implementation phase. It is same sort of idea when you come to international cooperation. Alberto de Benedictis I will just add – as far as the UK is concerned – that clearly there is a very large investment by the UK government in this, and as was said earlier, in particular in the highthreat environment, the government contribution to identifying threats is absolutely key. I mean, frankly, in the UK that is well-developed, and the model we are trying to implement in the UK – which is, I think, unique in Europe at the moment – is to see how the government organisations and the industrial sectors can collaborate. Because it is a sensitive intelligence. But how do you share that? How do you make it operationally useful? At the same time, how do you avoid prejudicing the information source, and assuring that it is well protected? That is a fundamental problem. If we can get that model right, I think that is useful to the EU. It is useful to the countries. Certainly, we would advocate closer cooperation between governments because if some governments are doing something that is particularly good or interesting or useful, then I think that could be shared. And there the question is: how close are those collaborations? And how quickly are those collaborations going to relay?
27
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
Steve Purser I cannot resist adding a whole example, because I have to live through it, and it really points out the need for international cooperation. When I was working for a major banking institution in Luxembourg, which is handling $10Â trillion of risks, so this was a very sophisticated set-up. Our primary data centre went down. We had to switch to backup, because the whole national grid went down. It went down, not because of a problem in Luxembourg, but because of a problem in Germany. And that is very interesting when that happens, because you get a lot of dialogue problems. First of all, call protest decides very quickly who it contacts at the government level. Then the government has to decide who it contacts at the intergovernment level. And none of these chains is very strong. So it is a superb example of how you can get a very big impact in a very short time if you have not got these procedures and contact points sorted out in advance. Maria JosĂŠ Granero Paris It is clear that this is an issue that needs to be handled with each company that we work with in Defence. We are used to knowing how to deal with these topics. I am convinced that we are able to find out common solutions to offer European prototypes and European solutions. We need to take into consideration that requirements of governmental, institutional, and private consumers are different. Therefore, we need to organise internally our companies to deal with them. But at the end of the day, we must not focus on one kind of customer. Governmental companies are the only national companies we are discussing. But, in fact, the reality is that we have groups of companies with a critical national infrastructure, such as EDF, who have nuclear plants all over Europe. That means that in order to offer a solution to these kinds of customers, you must be able to offer them a European solution. If not, you are introducing a complexity in their systems, because as my colleague from Enisa was saying, you do not have 27 solutions but one in each country where you have a nuclear plant. So how in a private company do you share information internally? At the end of the day, you have this problem of national sensitive data. I am confident that a European solution is possible to be achieved. Kai-Helin Kaldas, Estonian representative to the EU Mr Purser, you mentioned the importance of setting up minimum-security standards. I guess you were probably mostly referring to network resilience issues. But I would like to get your viewpoint on cyberconfidence-building measures. I know that the OSC, for example, has set up an informal working group to deal with cyber CBMs. The second question to Ms Granero Paris: You mentioned that Cassidian is developing a training centre. Maybe I missed whether you are already cooperating with some US universities or planning to. Are you also looking towards European universities and planning to cooperate with them? And you mentioned that you are following the initiative of Mr Tunne Kelam at the European Parliament and the launch of the Cybercrime Centre by Europol. Are you also to any extent following what Nato Cybedefence Centre of Excellence is doing, including in the training domain?
28
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Steve Purser Enisa is the European Network and Information Security Agency. This comes largely out of history, if you like. It was defined like that a long time ago. The world is changing. Enisa changes with it. I do not want to overestimate the network side. I think it is quite often over-estimated, and security is a lot more complex than that. I also would not like to over-estimate the infrastructure side. We talk a lot about securing national infrastructure, but the facts of the matter are as follows: if you have a perfectly secure infrastructure and insecure applications running over it, you are dead! It is as simple as that. If you have a secure application running on insecure infrastructure, it can work. That is quite surprising, but it is like that. You can cover a lot of the requirements for security through cryptographic protocols and things like this. You cannot cover the availability issue, which is a key issue, and what is driving the security of infrastructures. So it is important to bear in mind what we are doing. I think what we are really saying when we are talking about security in infrastructure is securing the whole thing. Infrastructure plus the key applications that run on top of it. Now, to answer your question, standards – I totally agree with you – we are not concentrating on Telcos. There is a certain, if you like, inertia in the system which means we are doing a lot in that area, but the digital agenda looks at all elements. We have a lot on things like cloud computing, market initiatives, etc. It is really very global in scope, and Enisa is very global in the scope of what it is doing. Yes, I do not want to stress the telecoms. They are important, but other elements are important, too. Minimal security standards everywhere would be my answer. Maria José Granero Paris Coming to the second question: First, the Cybertraining Centre will be participating with European universities in part. We are focussing on France, the UK, and Germany. In fact, the example I gave for the States was an example that we could follow, because they are already doing it. There are initiatives at the European level that we are monitoring, of course. We are monitoring, the European Sovereign Crime Centre. All of our activities are being done at the European Commission level. We have contacts with Cecilia Malmström. We are following every country, because we are aware and convinced that legislation is going to come. This must be applicable. And it is important for industry to be involved from the beginning not at the end. It is an advantage for all the parties involved in the process. We have contacts with Nato as well. We participate at the data from Ensia that my colleague from Finmeccanica explained a few months ago. We are trying to play an important role in this legislation process that is now being developed. Frank Franceus, Belgian Standing Commission for the Review of Intelligence Agencies It seems to me that, in fact, you need Defence because other people are building weapons. It is like a war. There are manufacturers. I think that one of the problems is, it seems to me, from Information. You have
29
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
– as Mr de Benedictis has said –the possibility to go to the underground warehouse and buy a lot of tools that are used by amateurs, but also by professionals sometimes, that can be used to, in fact, attack you. We know we limit the sale of firearms and physical protection. We are aware that we do not have stores where you can buy a fire weapon to kill other people. But, should there not be some restrictions on the creation, and maybe also on the proliferation of this sort of weapon? They are real weapons. Should there be a transnational response? And I think that I should put this question before the people of the industry, because they are in the Defence industry, of course, but also put the question before the policy-makers. Steve Purser It is an interesting observation. I remember a thing called Satan. Satan was a network analysis tool which was released by – I think it was a guy called Dan Farmer, actually. It was a very good tool, actually, and it was used extensively by network administrators to do some pretty good work. But it was very controversial, and, as the name suggests, it was also – and could be used and was used on some very delicate stuff. The problem is, actually, coming from the technical world myself, a lot of the bone fide tools, if you use them correctly, you can do a hell of a lot of damage with. Where is the dividing line? How do you know whether a retort is malicious or not? And it turns out to be extremely difficult to do. Similar to the problem of attribution when it comes to attacks. Secondly, I am not so sure – I mean, the idea is interesting, but I always think in terms of practicalities and enforcement. How would you enforce a model like this? We are in a global environmentand legal regimes are national. It is extremely difficult to control things in a cross-border environment. So, I think the idea is a very interesting one, but that would require an enormous amount of collaboration in order to make it a success. I think it would be extremely difficult to do. I think you always have had effective tactools. They are quite easy to write. A lot of the Internet was created at a time when we did not think about all of this. It is not going to be re-engineered, so – it is a fact of life. I think the key is in how we respond. But let me say something I have not said today. I think it is tremendously important. In 15 years as Chief Information Security Officer, I think the biggest problems I tackle are really economic ones. Scalability of process. Also, my colleague mentioned, and this is incredibly interesting: We tend to implement partial solutions. How many people put an intrusion detection system in place which rings the bell all day and there is nobody behind it to look after it? It happens an awful lot. So it is really, you know, solutions need to be both scalable, economically viable, but they also need to be implemented right to the last dot. Otherwise, they do not work. Take intrusion detection and then I will pass over. It is not only the bell rings. Then it has to be passed to the system administrator to look into the system, decide whether there is harm or not, escalate it to the Security Officer, etc. It is a complex process, but if you do not do it correctly, what have you got at the end of the day? You have got an alarm bell ringing.
30
2 The current responses from the Member States to Cyberthreats Patrick Pailloux
General Director, French Network and Information Security Agency (Anssi)
Sarah Lampert Deputy Head, International Cyber Policy Unit, Foreign & Commonwealth Office
Martin Fleischer
Head of International Cyber Policy Coordination Staff, Auswärtige Amt
Jean-Luc Auboin Chief of Sector, Network Defence Capabilities, Operational Centre Security, Cyberdefence, European Council
Modérateur : François Géré
Professeur, chaire Castex de cyberstratégie
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
Patrick Pailloux General Director, French Network and Information Security Agency (Anssi), France Amiral, Monsieur l’ambassadeur, Professeur Géré, Ladies and Gentlemen, First of all, I would like to thank the Director of IHEDN, l’amiral Richard Laborde, for his invitation to talk to you this morning about our national responses to the development of cyberthreats. My intention this morning is not to waffle but to talk to you in a very open manner. What are our national responses to cyberthreats? Let us come back to July 2008. A little bit more than a year after the DDoS attacks against Estonia and a few weeks before the DDoS attacks against Georgia, the French White Paper on National Defence and Security was published. For the first time in France, the possibility of a massive cyberattack on French information systems was considered as highly probable, even stating this could happen within the next fifteen years. To fight this rising threat, two main actions were proposed. One was to create a national agency. The other was to develop a national centre to detect those threats. The national agency was designed in the following months and created in July 2009 as the National Authority on Information System Security of which I have been the Director General since then. At that time, we were made up of around 140 people and we were not totally prepared to fight against what we would have to face later on. Six months later, in February 2010, the Agency published the French Strategy on Information Systems Defence and Security, setting four main goals that we are still pursuing. Our first strategic objective is to be a world power in cyberdefence. The very own nature of cyberspace makes it impossible for any State in the world to succeed on its own. Just as is the case for aeronautics and space industries, the strength comes from international cooperation. I will get back in a few moments to the concrete meaning of international cooperation in the field of cybersecurity. Our second strategic objective is the strengthening of the IT systems in the companies that are vital to our economy and our nation. This idea is directly linked to the first part of this speech. The objective is to help those companies to protect themselves from the attacks on their information systems, especially their critical infrastructures, as well as those aiming to steal their intellectual property. For that purpose, a new kind of partnership, specific to each sector of activity – we have 12 sectors in France – and based on trust, needs to be settled between the State and these companies. The third objective is more general. It consists of helping the Information Society to develop itself in a secure way. The electronic Identity Card fits in this picture, as well as enhancing the training of our engineers on IT security; in whichever field of activity they are specialized.
32
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
The last objective of our national strategy, which is more traditional for my agency, is the protection of all of our sovereign information, so that the decisions taken by our authorities, as well as their communications, remain confidential when they decide they should stay so. To tell you the truth, I was quite happy with that strategy and was expecting a long and hard but straight journey until the time we would have reached all of our goals. Then things changed. The last day of 2010, we discovered that a massive cyberattack had targeted the French Ministry of Economy and Finance. It was not a DDoS attack like expected, but a major spying operation. It took two months for my team to get rid of the attackers. That experience deeply changed the way we now tackle the cyberthreats. After the technical responses came the political answer. In February 2011, one year later, ANSSI became national authority for defence of our information systems. That means that in case of attacks my Agency is responsible for organising the reaction. In May, a few months later, the French Council of Ministers announced new steps to reinforce our resiliency against these massive attacks, such as setting up a rapid response team to be able to act with no delay beside the attacked entity. I said “massive” because they were massive. In fact, the more efficient we became in detecting cyberattacks, the more we discovered that the scale of these attacks was far superior to what we had expected. From 150 people in 2009, my Agency should therefore grow to 360 by the end of 2013. This huge effort decided by the French government is totally drifted from the necessity that we have to protect our administrations and critical infrastructure operators from cyberspying and other coming threats. What I mean is that States have to face new kinds of cyberthreats and that they have to act quickly. We have to face this challenge by being better technically, of course, but also by the way we organise ourselves. For instance, in France, we have a National Contingency Plan, a reaction plan in case of cyberattacks. By the way, we cooperate with other Member States. But we will not be able to race against the “very bad guys” without the skills of the private sector, without a political commitment at European level, and, we hope, without the help of the European institutions. Because if States are, and will remain, responsible for their national security: cybersecurity issues, in essence, go beyond national borders. EU Member States, in particular, have understood that certain issues of general European interest can only be addressed with the common and coordinated efforts at EU level.
33
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
So unlike what the title of today’s third panel suggests: “Is a European policy possible?” Several years ago the EU and the Member States committed themselves to reinforcing the level of preparedness and security in Europe, even if, of course, a lot remains to be done. First of all, Europe has given itself a tool: the European Network and Information Security Agency (Enisa), created in 2004. Steve Purser has probably presented his actions to you. Technical expertise centre for Europe, Enisa has been set up with the objectives: – to give Europe an Agency able to support the Member States and the EU institutions in designing solutions to respond to the threats to network and information security; – to be able to assist Member States requesting assistance to develop their cybercapabilities, such as to set up their national and governmental Cert; – and to support European cooperation between Member States, in the field of cybercrisis management, for instance. The EU institutions and the Member States have also agreed upon strategic orientations, such as reinforcing the security of Critical Information Infrastructure Protection (CIIP), and in particular of telecommunication networks. But political commitments are not enough. Nonetheless, concrete results have been achieved: • Even if not all Member States own a Cert, around 24 out of 27 own one, and Enisa continues to promote the development of Certs in Europe; • Cooperation between Member States has gradually increased, in particular in the field of crisis management, with the organisation in 2010 of the first Cybereurope exercise. The next one is scheduled for this year. • At the occasion of the revision of the European telecommunications regulation, a specific article dedicated to network and information security has been introduced, imposing to telecom operators to report IT incidents to their national competent authorities and to apply minimum security measures; • Finally, in June 2011, a pre-configuration team was launched in order to set up a Cert for the EU institutions, known as the Cert-EU, dedicated to the protection of EU institution information systems. This Cert was set up in only a few months. Imagine the creation of such a body in only a few months. It was an incredible performance. These examples show that Europe has already become aware of the necessity to increase the level of security of its information systems. But despite these concrete achievements, threats in cyberspace have continued to develop and new technological challenges have arisen – such as smart grids security, for example – requiring more active and ambitious engagement of the EU.
34
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
I would therefore like to conclude my intervention by sharing with you my views on the top priorities that Europe should focus on in the future. These priorities should be reflected in the European cybersecurity strategy that the Commission is currently working on. First of all, the strategy should stress the critical need to accelerate and strengthen the development of cybersecurity capabilities within the Member States. Security of information systems is a shared responsibility. European critical systems will remain vulnerable as long as Europe as a whole is not able to ensure the security of these systems. This also applies, of course, to the EU institutions that have taken a huge step by deciding to create their own Cert. The opportunity of adopting further regulation could also be considered, extending incident reporting to sectors other than the telecommunications sector. The European Critical Infrastructure Protection Directive should also be extended to the IT sector. Finally – and I could not stress this too much – Europe should concretely, quickly, and efficiently commit itself to ensuring the sustainability and the development of highly competitive European ICT and cybersecurity industries. More specifically, the EU should: • Support the development of industry: . By recognising the strategic importance of R&D, reinforcing existing and developing new support mechanisms, financial ones in particular; . By supporting the European industry in identifying concrete and strategic technological challenges and in promoting networking between European companies in order to respond to these challenges; . By promoting the development of academic courses in the field of ICT and Network and Information Security in order to provide the necessary skills to industry and governments; . By encouraging and supporting the development of production activities in the field of ICT on the European territory; • The EU should also promote European industry, both in Europe and worldwide: . By developing, for instance, a European directory of small and middle-sized businesses in the field of ICT/NIS, in order to foster our knowledge on the industrial offer in Europe; . And finally, by working closely with European industry towards the promotion of European technical standards at international level. . To conclude, as I have intended to demonstrate it to you today, national and European responses are complementary. Efforts need to be made both by Member States in reinforcing their national capabilities and the Member States and the EU institutions in working together to reinforce the general level of security of information systems in Europe.
35
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
From the floor How do you see the collaboration with your partner national security agencies in other European countries? Here you represent the French agency, with BSI in Germany, ESK in the UK and all the other national agencies in Europe. How you see this collaboration? Patrick Pailloux It is a key issue for us and for all of us. For all the agents like me, international cooperation is a major challenge, because alone in our own countries, we cannot do anything. Internet knows no borders. That is an evidence. We have two main strategies in that field. First of all, it is crucial for all of us to be in networks, to be able to contact everybody, everywhere whenever we need it. We have to be able to contact any country if we have an incident coming from somewhere. So we need to be in contact. We need to have Certs everywhere, and we need to have a capacity to collaborate and to exchange information. That is the first strategic issue. The second strategic issue is -this topic is more sensitive -the exchange of information which is, of course, very difficult, because, for example, it might include intelligence aspects, classified information. It is very important to develop strong cooperation between allies, to be able to develop our own capacity to detect and to mitigate the most delicate, sensitive hidden attacks. So there are really two ways of cooperating. Of course, Europe is – let us say – our country. So we have strong, very strong, relation with our allies in Europe. Sarah Lampert Deputy Head, International Cyber Policy Unit, Foreign & Commonwealth Office I am delighted to be here and I am grateful to the Institute for setting up this timely opportunity to reflect on what the EU should seek to achieve through its new Cyberstrategy. The UK is keen to play an active role in the strategy process. We would like to see the EU adding more value across the spectrum of cyberissues, and approaching cyber in a coherent and coordinated way, just in the way that we as a Member State are trying to approach cyber ourselves. I work in the relatively new and recently expanded Cyberpolicy Unit in the Foreign Office in London. This is a joint unit, which brings together the Foreign Office and our Cabinet Office. It will be our job to bring together the UK input into the strategy, working closely with our other Ministries such as the Department for Culture, Media, and Sport, which leads on Internet governance and our Department for Business, Innovation, and Skills, and many others. Today I have been asked to speak about current responses by Member States to cyberthreats. I will start off by talking a little bit about the main threats that we face, especially those which are relevant, we think, to thinking about the EU Strategy. Then I will talk about some of our key responses and plans.
36
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Not surprisingly, I think I will cover some of the same ground as Patrick Pailloux, but obviously not just from a UK perspective but also from a Foreign Ministry perspective. Before I do that, I just first I want to underline that one of the UK’s key messages, both domestically and internationally – and this is something that came out very strongly from the London Cyberconference last October – is that we must not think about cyberspace and our cyberpolicy only in relation to threats and security. It is vital that we always bear in mind the economic and social benefits that cyberspace and the Internet have brought us. The British Government holds that in order to maximise these benefits, we must maintain the innovation, the creativity, and the free flow of ideas that brought the Internet to where we are now. Any approach that we take to security must aim to also preserve these positive forces. Obviously, we do not deny that security against the threats is also of the utmost importance. National defence is a government’s first responsibility. One of the interesting challenges with cyber is that it forces us to look at national defence a bit differently. As our Minister for the Armed Forces said at the recent Shangri-La Conference in Singapore, cyber may provide the greatest challenge to our conventional ideas of defence and our easy categorisation of threats and responses. Cyberspace may be used by States in future conflicts as a precursor to, or alongside, conventional military action or by a conventionally weaker state as a low-cost asymmetric means of attack. As you know, such attacks can be also very difficult to attribute – though we are getting better at this, identifying the sources of cyberattacks. UK government networks, as others, are already targeted by foreign intelligence agencies or groups working on their behalf. One of our major concerns in thinking about dealing with incidents in cyberstates is to find ways that do not unnecessarily escalate the situation or provoke a disproportionate response. In this respect we have to pay attention not only to the activities of States, but also of non-State actors such as hackers and criminals. Our conventional arms control situations on non-State acts can produce effects similar to those of States, and it is likely to be outside State-level command and control decisions. One important way to tackle this problem is to develop confidence-building measures in cyberspace to improve transparency and trust, and to provide mechanisms to deal with these sorts of incidents. The UK is taking a lead in this area. We recently organised a conference with representatives of government, business, and academia – an international conference – and we are strong supporters of work that will be taken forward in the OSCE, the Asean Regional Forum, and the UN Government Group of Experts this summer. However, the fact is that cybersecurity is not a predominantly military issue. As I think we have heard from other speakers, it is an issue for society as a whole. Business, including our critical infrastructure and service providers, is a target for a range of cyberattacks – from espionage, criminals, or hackers. A recent survey in the UK showed that one in seven large organi-
37
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
sations has been hacked in the last year, often facing one outside attack per week. Small businesses face one a month. And this is probably an underestimate, because businesses, even if they know they have been attacked, are often reluctant to reveal vulnerabilities. Business also has a key role to play in our response. And the same goes for our citizens. Our citizens need to be protected. And they need to protect themselves. Identity theft, phishing scams, and online card fraud are some of the fastest growing crimes in the UK. Intellectual property theft through cybercrime is a major concern. So let me now turn to the UK response. We have rated cyberattacks as a Tier 1 threat to our national security in our recent national security strategy process. Despite our tight financial situation, we have set aside funding of £650 million to develop our cybersecurity response over the next four years. We have published a National Cybersecurity Strategy, which aims to set out how we will do this in a coherent way and enable the British public to hold us accountable. The first year has focused on building our capability to resist attacks – what we call our resilience – and includes improving our ability to detect and combat threats and the policing and reporting of cybercrime. We have brought together the expertise of different government departments and law enforcement agencies under the umbrella of the Office of Cybersecurity and Information Assurance in the Cabinet Office, which is the part of the Cabinet Office that is in a joint unit with my team in the Foreign Office. An important characteristic of our government response – and again this is something that previous speakers have brought out as well – is that it involves working in close partnership with industry, with academia and with civil society more generally. Our National Cybersecurity Strategy, published in November 2011, sets out four key objectives. The first is to make the UK one of the most secure places in the world to do business. Much of the infrastructure we need to protect in the UK is owned and operated by the private sector. We are raising awareness in businesses of the potential threat to reputation, revenues and intellectual property from cyberattacks. We are working with businesses to facilitate and encourage the sharing of information and resources so we can build up a better picture of the threats we face and collectively fight the common challenge. We believe that it is through encouraging businesses to share information and through facilitating trust that we will achieve results, and not necessarily through legislation. One example of the work we have been doing with the private sector – and I think this is what Mr Benedictis referred to in his presentation – is the joint public/private sector cybersecurity "hub" with five business sectors: defence, telecoms, finance, pharmaceuticals and energy – which we recently pioneered to exchange actionable information on cyberthreats and manage the response to cyberattacks.
38
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
We now aim to increase the scale of engagement. But ultimately we want to see industry leading on this initiative, so it is led by industry, for industry. We are also sharpening our law enforcement response to cybercrime, through our Serious Organised Crime Agency, Soca. We have created a dedicated Cyberteam at Revenue and Customs. And we will have a Cybercrime Unit in our new National Crime Agency, which will bring together Soca and the police. Our second objective is to make the UK as a whole more resilient to cyberattack and to protect our interests in cyberspace more effectively. Here, our Ministry of Defence and GCHQ – which is part of our intelligence structures – have established a joint Cyberunit to develop new tactics, techniques, and plans. Our relatively new Cybersecurity Operations Centre has run exercises to test and improve the UK’s capability to respond to a cybersecurity incident, and has participated in a joint EUUS exercise. For the Olympics, we have created a dedicated Unit. I will just mention that the Chinese saw 12 million cybersecurity attacks during the Beijing Games. So we know we need to be prepared. Our third objective for the National Security Strategy is to build the UK’s cybersecurity knowledge, skills and capability. So I think this comes back to the training issue, which again was mentioned in the previous session. We are working with industry and academia to promote skills and education. We support an initiative called the Cybersecurity Challenge that offers scholarships and rewards to people to steer their careers towards cyber. A recent winner was a postman, who now works as an information security professional for the Royal Mail. GCHQ has awarded “Centre of Excellence” status to eight British universities conducting cybersecurity research, and there will be more opportunities for universities to apply this autumn. Our final objective is to help shape an open, vibrant and stable cyberspace, which the public can use safely and which supports open societies. Again, this is partly about education. People need to know how to protect themselves online. The Government has been working with the private sector and law enforcement bodies on an initiative called Get Safe Online. It provides education, information and advice on Internet safety to UK consumers and small businesses. It is sponsored by a number of major private-sector organisations. We have also backed a campaign to encourage people to report online fraud. Last year we ratified the Budapest Convention on Cybercrime, and we are working hard to persuade other countries to sign up to it or, at least, to compatible alternatives such as the Commonwealth Model Law.
39
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
I will be working with international partners, business, and civil society to take forward the themes raised at the London Conference on Cyberspace last year. We aimed to build consensus around the future of Cyberspace, nurturing and expanding the economic and social benefits of Cyberspace globally and assuring that we work in partnerships to tackle the threats facing us. We are working closely with Hungary and South Korea in preparation for their cyberconferences, which will make further important steps forward on this wide international agenda. I will end by emphasising that international cooperation – although I talked a lot about the UK – is at the heart of our cyberapproach in the UK. As others have said, cyberspace knows no boundaries. Those who threaten our security in cyberspace are not limited by geography. Having said that, and as I said at the beginning of this talk, we need to make sure that our approach to protecting ourselves preserves the benefits of cyberspace and the Internet as far as possible and does not weigh us down in red tape or fruitless international negotiations. Cyberspace is constantly evolving. So are the threats. Our response must be nimble and creative. It must recognise the crucial role of the private sector and individual citizens as well as governments. And we as governments must work together to share best practice and to provide the best framework for success. We look forward to doing this as part of the EU as well as at the national level. Martin Fleischer Head of International Cyber Policy Coordination Staff, Auswärtige Amt I will start with the presentation that is not my presentation. It is from my colleague in the Ministry of the Interior. Basically, national cybersecurity is under the purview of the Minister of the Interior. We have a pretty strict separation between exterior and interior security in Germany that goes back to our Constitution. I will quickly introduce the German national cybersecurity strategy, which was passed by the Federal Government last year in February. Our government’s approach is not too different from the one of France and UK. I would briefly highlight what has been new last year. We have introduced a National Cybersecurity Council. That is the policy organ that is new in the government. We have established a National Cyberresponse Centre which is not entirely new, a little bit like the French development where a small body has become bigger and has taken over more responsibility. The direction is the protection of critical Infrastructure, both IT infrastructure in itself and other critical infrastructure, using IT. Everything is using IT today, even an alarm clock. Let me start with the National Cyberresponse Centre. The core of it is BSI, which was mentioned before, which is the Federal Office for National Security, which has taken care of Cybersecurity for a
40
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
couple of years. You must now imagine that last year we kind of built another story on top of this BSI, so we have a BSI deluxe. It is more than a cooperation. It is a real physical centre that cooperates with the Bundesamtes für Verfassungsschutz – this is the Home Intelligence Service, and the Federal Office for Catastrophe Management and Population Protection. They are the core. They are physically there all the time. And then we have two circles around it, where other agencies have their permanent representatives at this Centre. BND, as you know, is our Federal Intelligence Service: the armed forces, Federal police, and so on. The National Cyberresponse Centre is the one who is really doing the response work on the ground. But then we have a political body. We created a political body, the National Cybersecurity Council, which meets on state secretary level, that means Vice-Minister level, under the presidency of the Minister of the Interior who is a lady, she is one of the very few leading female figures in this area. This is a body which does not move as a day-to-day work, but with the political and strategic discussion and objective-setting. The Foreign Office is in the Council. And we have also – it is, you must see that, Cybersecurity and the other aspects, as Sarah said: social benefits, human rights and so on, on the Internet have become a new dimension of Foreign and Security policy. I will perhaps just mention two main fields of these strategic points that the National Cybersecurity Council is dealing with. One is what we call Cyberforeign Policy –. The other one is protecting of critical infrastructure. It is a main issue in EU countries. In the US, there is a discussion. Can it work on a voluntary basis, or can it not? If a company – small or medium-sized–has a problem. What would they do? Would they call somebody and fix it and just keep quiet or would they report it so that others can receive help and prevention? It is a difficult issue. If you knew that your favourite online shop has been infected by malware from somewhere, would you still go on this website? You might be afraid to order from that homepage. So it is an issue of the image of the company. We are working very strongly and intensively on this in Germany. We try to do it without a legal obligation. We are not sure it is going to work. Often cybersecurity is compared to public health. If you have infectious diseases in your country, you must report them in the kindergarten. If a child has a dangerous disease, it must be reported to the authorities. Do we need such a law for cybersecurity, or can we do it on a voluntary, or let us say, a semi-voluntary basis? You see who is responsible for all those structures. We have the Federal government and the Federal states. Germany is a Federal republic, much less centrally organised than France, for example. Local authorities – we have the operators of Critical Information Infrastructure industries, and we have every individual citizen. And the question is whether we can create a culture on cybersecurity of reporting, of sharing, and of accepting help on a voluntary basis. The use of instruments for this question is still open for us at this time.
41
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
Concerning international cooperation, we need cooperation among States. We need confidence-building measures. I have already talked about the strategy for Germany. I will mention a few principles of our cyberforeign policy, or international cyberpolicy, which is the same. And then, I will not have the time to talk about all the international fora, where cyberissues are being dealt with currently, but all of them have to be fed with positions. If you are a government, you have a representative in international organisations. You must make sure that they speak with the same – they read from the same sheet. In addition to the national fora, the bilateral dialogues between countries lies also with countries that have different ideas. We recently had dialogues with Russia and with China and informal conferences are very important. The need for a consistent cyberforeign policy is already enshrined in the cyberstrategy. It is often said that German foreign policy is based on values and on interests. I think in cyberspace they are very close together. We have – I sometimes call it different dimensions, or call it different baskets. Cyberforeign policy has three main dimensions. The Security dimension, which is what you are told, but it has also the international work that I have touched upon. The third one is the Human Rights dimension: freedom of opinion, freedom of existent information, which are closely linked, but they are not the same. For example, in China, where I lived a couple of years, the freedom of opinion is restricted much less than it is often reported. You can say not everything, but almost everything in China. But the freedom of information is very strongly restricted. There is no Google. There is no YouTube. There is no Facebook. There is no nothing! Privacy: Very important and one of the issues that Germany underlines very much in the EU discussion, and where Europe and the US also have slightly different approaches about the balance of security and previously personal data. The economic dimension: It is a long issue in itself. The economic dimension in terms of our own industry – which was mentioned by a French colleague – with also a view to what is often called “digital divide”. This is another big field of action which is before us. I will only give a few examples of the international organisations who work on these issues. The OSCE was mentioned and has been tasked to work on a set of regional confidence-building measures between states. In parallel at the UN, we have a group of governmental experts – well, the General Assembly decided that such a group would exist, and the Secretary General of the United Nations has called experts from different countries and they are wondering what States can do, what confidence-building measures mean. Transparency. Lines of communication. What can you do when you have a problem and you believe it might come from another country? Can you pick up the phone and call it, “Look, we have got something coming from you guys over there. Can you tell me what it is?” It is easily said. It is not easily done. And that is especially important in relation to – just not to our neighbours, because France or UK would not probably support a text like that.
42
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
So the real question is how can we work with states further away, with states that have a different priorities. We have a problem with Russia, being a haven for organised crime. I am not saying the government is not talking to us, but the government is not doing enough to prevent individuals in its territory to attack us. We also have India’s international forum. States have different values. We are all in favour of more cybersecurity, but we disagree, as we found out, with the example of the Chinese, on the ways to achieve such cybersecurity. Some states would say, “Oh, you want more security? No problem. The government must control every communication that we have as security.” I am not sure that this is the approach that Europeans want to take. So we have a practical security policy debate, but we also have a debate of values. I could go on for long. We have in addition to this what I call the East-West line of discussion. We have a North-South line of discussion about Internet governance. Who will run the Internet? Should the UN run the Internet? It sounds so democratic. Would they be democratic? Would they be efficient? All these are issues which are unfortunate. What can the EU do? This is something – The EU is still working on it. The Member States are working on it. Definitely, the first thing the EU should do is put down its structures better. We have to be very frank here. We have the impression that some data, when they are at home are well protected. When we send them to Brussels, we are not sure. Or we have reason to believe that it would be easier to spy on them there than at home. That is just the first thing that the EU will have to do. But then, we also think that IT security is a national value and will probably remain one for the foreseeable future. But that is no contradiction to more European cooperation and harmonisation, as other speakers have highlighted. A chain is as strong as its weakest link. So, we do need a very strong cooperation in Europe, not only for security here, also to what I mentioned before, when we dialogue, when we cooperate with partners outside of the EU and when we position ourselves in international fora. A lot of work has to be done – work in the EU is just beginning – on security strategy and on the overriding cyberstrategy that we believe is necessary. A lot of work on the content has to be done. Procedures, bodies have to be streamlined in the EU to know who is in charge of what, where Member States can discuss what. I think we are just at the beginning of a process in that regard. Last year, we held a conference in London. Germany also furthered this international discussion called Process with a couple of conferences we had. A cybersecurity conference was held last December in Berlin. We had discussions with the Chinese and the Americans and everybody around the table mixed with civil society. It can work. We are going to hold a second Berlin cyberconference this year in September, not on cybersecurity, but on the second dimension, the human rights dimension of the Internet.
43
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
Jean-Luc Auboin Chief of Sector, Network Defence Capabilities, Operational Centre Security, Cyberdefence, European Council Good morning everybody. Effectively, I worked for 20 years in Nato and I decided two years ago to switch to the European Council. From 2002 to 2008 I was the Project Manager of the NCIRC IOC (Nato Computer Incident Response Capability, Initial Operational Capability) which has been a successful project, with an implementation in less than 5 years. Then from 2008 to 2010 I was the Project Manager of the NCIRC FOC (Full Operational Capability) Design project, on the basis of which the implementation is now on-going. In 2010 I decided to switch to the EU Council to get a new challenge in a new environment, but working in the same area: I am Chief of the sector Network Defence Capability responsible for Cyberdefence. I will so give you now information on the status of the Cyberdefence Capability from a Council and EU perspective, since we are also working in close relationship with other EU institutions. The brief outline will be developed as follows : – d efinitions of Cyberspace, Cyberattacks and Defence; – short presentation of the Network Defence organisation and Capability in the Council, including the overall development strategy already developed and approved; – the key principles for a successful way ahead. Let’s start with Cyberspace definition: it is "the global area of interdependent information processing and exchange technology infrastructures, but also including the end-user". It is important from both a social and professional perspective: the end-user is involved in cyberspace as either a victim or an attacker, in addition to the IT technology. In terms of cyberattacks, there are a lot of types, and we try now to categorise them better according to attackers and targets profiles in order to improve our defences. At general level, they are respectively: Cyberhacktivism, Cybercrime, Cyberterrorism, Cyberespionage, Cybercrisis, Cyberwar. The Council must cope with all types since it is, similarly to Nato, a major political target, which shall protect both civil and military assets, from unclassified Internet facing to high classified systems. Concerning the specific security counter-measures, we have to streamline all the terminologies, and either Network or Cyberdefence terminology may be used. It has basically the same meaning and definition: "The application of all technical and legislative security measures to protect the cyber space in general and, more specifically, its critical infrastructure components by detecting and responding to security incidents." According to that definition, our Cyberdefence team is directly involved at technical level, but also the Security Office and legal advisors for eventual prosecution and attack attribution. That is the reason why this area is quite challenging. It is not only the "cyber guys" who are involved in liaison with the
44
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
other technical teams: it is not a small team, but a virtual combined team which supports the whole security incident management process. Organisation within the Council is simple: there is on top an NDC Steering Board, like in Nato, the Cyberdefence Management Board, which is the high level management responsible for defining the big orientations and monitoring the progress made. At the level below, there is an NDC Coordination Centre: Mr Bernd Schomburg is in charge. He’s the focal point of contact, responsible for liaising with the other institutions and with the Member States. In that role he’s managing an NDC address book for external relations. And there is the NDC Operation Centre, which is effectively the Security Operation Centre, equivalent to the NOC, Network Operation Centre for the centralized Network management. In 2010 the Steering Board has agreed on the Council NDC mandate and Terms of Reference. Under that mandate, primary task is to protect the Council infrastructures for all sensitive and classified CIS, Communication and Information Systems, against all forms of technical attacks and using an iterative approach and state-of-the-art technology. The second main task is to define incident security handling procedures: it has been done in 2011, with modelisation and testing. The procedures are now approved and used to perform the incident management in coordination with the Security Office and other technical teams in charge of the system management of the different Infrastructures. They are also refined based on business cases with all the teams concerned. Third main task as part of the process is reporting. We are using the Network Security Incident Alert Mechanism (abbreviation Nsiam): this formal message format has been approved by all nations few years ago to exchange key information at the governmental level, both on a monthly basis, and on an ad hoc basis - depending on the incidents encountered. All the rest is more technical. So we are maintaining central databases of incidents, threats, and vulnerabilities. In parallel, we have started to implement security management and perform vulnerability assessments. It is effectively essential to know the critical infrastructure assets to be protected, as well as their security configurations, in that purpose we are regularly performing scanning on classified and unclassified networks. In parallel, we are defining the specific procedures to be followed. For coordinating on the systems evolutions, we have also set up patch management working groups. Regarding the technical facilities themselves, we have implemented central core capability, up to now at two levels of security classification. Like the concept defined in Nato, we have one for unclassified Internet facing systems, and one for high classified systems. Both are more or less identical, based almost on the same technology, and operated by the same staff. That way we are flexible: we are optimizing the resources, and gain experience in the different environments.
45
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
Finally we are liaising with technical security authorities of other EU institutions and Member States. Last year for instance, with the EU Commission, we worked closely with the Cert-EU pre-configuration team to help them start-up in order to coordinate at the general level with all the EU Institutions. Regarding the Reference Documents, in addition to the Incident Handling procedures and the Nsiam already addressed: what is very new and important is the specific Network Defence Capability policy and supporting guidance approved in April of this year by the Member States at the EU Council Security Committee level. It is a quite detailed document which is directly relevant. Specific internal references are the NDC Programme development plan defined in 2010 and approved in 2011, and the Data Protection Notification for Cyberdefence signed at the Council level in 2011. Last but not least there is a Service Level Agreement between the Council and EEAS for provision of Cyberdefence services, to protect effectively their classified systems developed by the Council in the past, before the creation of EEAS. The overall capability development Framework is covering both policies, procedures, organisation and technology. What is especially important is the technology watch to get efficient and up-to-date tools: we try to get a common set of products and applications as made available by the main industry players. But this area requires specific items, which are generally not provided by EU manufacturers. Referring to the previous Industrial Table, I think it would be helpful to have a real European industry cooperation in that field, especially amongst the major international companies. When you want to implement anything, it is already difficult to follow the traditional acquisition processes, especially in the international organisations. So it would be beneficial to all if Industry partners were closely cooperating to provide effective, easily manageable and sustainable facilities, services and practices. The general definition of US Cert, which is the well-known US organisation that has initially started to work in the Cybersecurity field. They have identified reactive services, proactive services, and security quality management services. The latter are quite traditional and general, whilst the two first types are really those to be developed by Cyberdefence. All the items in blue are those covered by our NDC sector, at least partially. The two next Slides 9 and 10 describe all the Security controls to be applied on Communication and Information Systems (CIS) / Information Technology (IT) for effective Cyberdefence. The first is from the US Centre for Strategy and International Studies (CIS) and the second from the UK Centre for Protection of National Infrastructure. Both recommend to get first an inventory of your assets, and then to define appropriate security controls. That’s what we have initiated within the Council in coordination with the other teams, Configuration Management Boards, system managers and Accreditation Authorities. Slide 11 depicts the whole scope of NDC covering both Council systems and EEAS classified systems. As SOC (Security Operations Centre) responsible for real Infrastructure protection, what is important is to identify first with the high level management the most critical assets to be protected in priority,
46
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
for instance your Internet facing system or some classified systems. The complete scope is so huge that you may not protect in depth all systems in parallel. It is an iteractive and replicable process but at least the foundations shall be well implemented. We are also in close relationship with Information System Management and Communication System Management in order to be complementary, with no overlap nor hole. Slide 12 shows the overall operational and business decision making process. Before I was responsible in France for the development of the French Army tactical Command and Control System (SICF: Système Informatique de Commandement Français). Cyberdefence is like a "C2 system", even a ‘C4 system’ for Command, Control, Consultation, and Communication. For Cyberdefence specifically, it will be the ‘C5’. To support the decision making process, you need information collected by specific sensors located at the best places of the Infrastructures. They are your eyes, and the more you deploy, the more you see, and the more you will be able to correlate, analyze, decide and enhance your defences, that means perform pro-active incident management. On Slide 13 is given a list of main categories of attacks and related incidents: Social Engineering, most of the time related to low attacks, but which may also be used in Advanced Persistent Threat attacks performed by skilled and well-organized attackers. It highlights the fact that all democratic organisations are too open, and hence easy targets. Other types of attacks we are facing like other equivalent organisations are: Denial Of Service (DOS); Infiltration of Malware; Phishing; Exploits, Data Leakage and Botnets. Here we may note an example of coordination with the other Institutions, including CertEU: in January this year we have coordinated together to defend against Anonymous DOS attacks, and it worked well. Concerning Information Exchange and Collaboration, the Council is regularly sharing information at different levels with Member States, EU Institutions and other Trusted Partners, including Nato, through reports and meetings. Our Coordination Centre is dealing with establishment of those circles of Trust. Up to now, we are providing more information than we get in order to prevent incident or to provide post mortem analysis. Slide 15 describes the general principle to get within all organisations, one focal point of contact identified at both Coordination and Technical Centre levels for collaboration. It is the prerogative of each organisation to designate them, but it is of utmost importance to get them known in well established Network Address Books. Slide 16 depicts specifically the collaboration framework within EU, with the specific role of Cert-EU. It is to coordinate at the general level and improve the global security posture of all Institutions, whilst existing organisations in place, like EU Commission and Council SOCs are responsible for in depth protection of their own Infrastructures.
47
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
For conclusion, the key principles for success are close coordination at organisational and technical levels, and standardisation of specific processes and technology, including open source tools, well supported, all to be compliant to overarching policies like ISO 27000 series and compatible with each other for smooth integration. All items are valid for both civil and military, unclassified and classified systems. With again the wish that the EU industry may provide key components of this global Cyberdefence puzzle.
Questions and Answers Kai-Helin Kaldas, Estonian representative to the EU It was mentioned that in cyberspace the chain is as strong as its weakest link, and we know that not all Member States have the same level of preparedness. Many do not even have cybersecurity strategies. What kind of incentives could we use to make Member States improve their act? And also, when we are talking about end users – and it was also mentioned that end users are engaged in cyberspace – then how can we raise even more awareness amongst citizens, and not only raise awareness, but stress that there are responsibilities for people using the Internet? Jean-Luc Auboin First point: the Council is regularly providing information on incidents to Member States. For the moment only a few are answering for consolidating a global analysis and response. But all understand more and more the interest and advantages to get involved. It is a real incentive for them to improve their level of capability. Second point: to improve users security awareness in the Council, we are building and showing real demonstrations on the various attacks categories, especially those related to Internet facing systems, which are similar to scenarios at home. On the European Data Protection Day for instance, end of January in the Council, we have presented botnets and phishing attacks highlighting the direct involvement and responsibility of the end user in the overall Cyberspace. Sarah Lampert I am very new to this, so I am going to answer but also actually throw back some questions. I can see and completely understand the point that we want all Member States to be secure enough to protect all of us as a whole. The possible answer behind why those Member States are not up to the standard – Is it because they do not have an interest because they themselves have not been attacked or do not feel they will be attacked, or is it a lack of capacity? So that is the first question to ask, and I do not know what the answer is, and I do not know which Member States are particularly weak in this area. I would only say that certainly from the British government’s point of view, we are doing a lot of information sharing with other Member States at all levels, from talking about national cybersecurity
48
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
strategies, sharing our own and learning from others who also have strategies, to very practical level cooperation. In terms of end-user awareness, we have our national programme that I talked about. I mean it is – I myself do not always do everything that – and I am sure that others in this room do not always do things they should do to protect their own computers. So, it is obviously going to be a very long-term, ongoing educational struggle that I guess needs to be done nationally and, I am sure, internationally as well. So, there are no easy answers. François Géré To conclude, let me address just one issue, because you two insisted on the CBMs, confidence-building measures, and the gentleman over there during the last session made the case that it would be possible to prohibit a number of devises that we could call weapons. It seems to me that there is some kind of incentive to go in that direction, but at the same time, it seems so difficult to verify, to consider. And my question is more or less: We can consider confidence-building measures. Is it enough? And if the system itself collapses, that means that if we have an agreement to be confident with people or States, who, in the end, do not comply with their commitments, what should we do? Martin Fleischer Before I answer this question, I have one personal remark that has to do with the last question also. I observe – but that is personal a discrepancy between over-regulation of traditional means of communication and in non-regulation for the use of the Internet. And being an electrical engineer before – and even as a boy I was building radios and little devices. I had to be careful that the Post & Telecommunication author would not sue me for having a little bit of radiation appear a few meters away. It was illegal. Today, if on my sailboat I want to operate a radio, I need a license for the machine. I need a licence for myself. I must undergo a test. And it is totally harmless. It can just go a few miles, but everybody can connect on the Internet and send messages all over the world. As said before, I am not in charge of using state control as one cure-all means of getting more Internet security. To your question, that you mentioned before, Should we have something like an arms control for cyberspace? The idea at first glance sounds very appealing. It seems as important as other weapons and so on that are as dangerous. And the task is important. Actually, the Russian Federation has proposed an international convention on information security, and it contains the idea of forbidding the proliferation of cyberarms. But the definition problems are huge. What is a cyberarm? I mean, you can count tanks. You can count guns. But can you count computers? Perhaps. Can you count programmes? Copies of programmes? And especially, because the use is the key word, it is extremely difficult. I mean, the definition problems are huge. The ideological differences between countries are huge. The negotiations would probably take years. And then it would be impossible to verify. No arms control regime makes sense without verification. This is why it took many years to negotiate the chemical weapons ban, the biological weapons ban, the nuclear test ban.
49
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
Admittedly, also, we have thought such time that maybe such an arms-control approach could work, but we came to the conclusion that it cannot work. Just practically, it cannot work. So, still we want to build on the experience of the arms control process. That is, by the way, why the OSCE is a good forum, for it. The OSCE, which you remember came from the Conference for Security and Cooperation in Europe in the 1970s. Then, it gave birth to speak to the Treaty on Conventional Armed Forces in Europe, the CFE Treaty, that is hard arms control, where you would count tanks, and say, “No, you have five tanks too many.� Or you should not have them there, you should have them in another place. But then the second thing that was born in the CSCU process, is the DML document. This document is like soft arms control. It is confidence and security building measures. What could such measures consist of? In exchange of doctrines, those for civilian and for military in cyberdefence; naming of contact points. As already mentioned, you have to have someone you can call 24/7. You could have visits. You could have documents that define, but that in a weakness for information should be answered within a certain time, or something. It is not easy, as I said, the international community is working on it, he OSCE and the UN. There are also a couple of bilateral efforts. We know that the United States of America and the Russian Federation are trying to set up for the meantime an immediate such bilateral confidencebuilding measures and I know that this is a very difficult negotiation process.
50
3 Is there any possible comprehensive response at the European level? Air Commodore Pascal Roux
Concept and Capabilities Director, EUMS European Commission
Jakub Boratynski
Head of Unit, “Fight against organised crime”, DG Justice, Freedom and Security, European Commission
Giuseppe Abbamonte
Head of Unit, Electronic Communication Policy Development, DG Infso
Heli Tiirmaa-Klaar
Advisor to the EEAS in cybersecurity policy, Belgium
Rear Admiral (2S) Denis Trioulaire
Capability Manager Knowledge, EDA
Modérateur : François Géré
Professeur, chaire Castex de cyberstratégie
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
Air Commodore Pascal Roux Concept and Capabilities Director, EUMS European Commission Let me speak first about EUMS. Who we are, what we do. Maybe a slight recall or reminder of what we are. First, we are the tool of the Military Committee. So we are key for an inter-governmental body. We are – I am – in the hands of the Member States. What I produce is just the result of a consensus of the Member States. Through the national interventions you had before, you had the sense that different sensitivities, different approaches are prevailing on a very common issue. And this is also the beauty of Cyberdefence. You have very "national" positions, expressing a part of sovereignty, that have to be performed and implemented, but on a very common concern. So it is interesting to see how this develops. Second, we are also working within the European External Action Service. So, we are part of a structure. And so, we also have a Chief who is Mrs Ashton. She relies on us for her military expertise needs. She is very demanding on us for all related matters. And Cyberdefence is one of those matters. Now, you have already understood that, in contrary to the general principle, and especially when it is related with military issues, we are not on the common standard which stipulates; one Chief. Well, here we have the counter example. We have two origins for our tasks. It is interesting. The EUMS, "who we are, what we do". I could make it very short and invite you to go to our website where you will see a four-pager. It is very short. If you have a moment, and you want a "cybervision" of "who we are what we do", go and pay attention to those four pages, which are very interesting. I will just, to be a little less "cyber" and more human, give you a sentence which is an abstract of this paper, related to our Terms of Reference: It was a Council decision, in April 2008, in the surroundings of the French presidency, just before, and our mission is to "perform early warning, situation assessment, and strategic planning for missions described in the Lisbon Treaty, including those identified in the European Security Strategy." So, our mandate is very clear. And when we are speaking about strategic planning, we are speaking about operational strategic planning, to prepare conduct of the operations, but we are also, considering that force planning is of interest, and that means building the capabilities to be able to conduct the operations. So, our mandate is rather clear. How do we perform it? Well, we have several Directorates in the EUMS. My Directorate is Concept and Capabilities (Concap). We could also add Training and Analysis, and this is my third branch. And if you relate that to the previous speeches, which underlined the importance of education and training, you can see here that I have a high interest in what was said this morning and what will develop afterwards.
52
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Back to Cyber, we, Concap, are, also relying for such very demanding expertise domains on other Directorates, and one of them, that I want to emphasise on, is the CIS Directorate: Communication and Information Systems. They are an active part of the different bodies which were described before and represent the EUMS expertise in the EEAS Service, and of course, they are very involved in the development of our conceptual work dealing with Cyberdefence. First of all, just a word of history. What is the base of our work today? As I stated, the European Security Strategy is the level of ambition that the Europeans want to express. A report was done on this European Security Strategy in 2008. Some new threats were mentioned in this report, and they were mentioned clearly in the Strategy report. Those five key threats were: Weapons of Mass Destruction; Terrorism and Organised Crime; Cybersecurity; Energy Security; and Climate Change. It is a change, in some way, with the basic document which expresses the level of ambition. For us, soldiers, it means "maybe there is a change in the requirements that we have to express to the Member States to get the capabilities to face those problems". We studied those elements, and in November 2011, it was finally decided that out of those five threats, one would entail, important changes in our requirements. And this one was Cyberdefence. So in November 2011, it was acknowledged that we had to pay severe attention to this task and logically, we decided to revise our Requirement Catalogue, which is, in fact, the sum of the needs. This is an ongoing work. On that subject, we are working very closely, of course, with EDA, because EDA plays a very prominent role, and Denis will elaborate on that. We are very closely working together on this topic, and trough EDA, it is very interesting, we also have the link with Industry, especially with European Industry. In that respect, this morning it was very interesting to hear from industry actors. This is for capability building and our investment. In the coming weeks, we shall define those capability requirements. It seems very easy, for you who are specialists, to express a Requirement. When you have to get a consensus of 27 Member States on a Requirement, then it becomes a real work. This is what we intend to do through the EU Military Committee Working Group, dedicated to capability building. In September, we shall organise a Seminar in this Committee, with the Member States, and we are going to launch this process. This was the first strand. The second strand is the conceptual work. You remember that my Directorate deals with Concept and Capabilities. You have seen the Capabilities. Now, let us discuss the Concept. We are working closely with CIS directorate in the EUMS. This concept, of course, will feed the reflections that we are conducting also on the Requirements. This is the base and this is work in progress. The perimeter is limited to Operations, because we are working within with the External Action Service.
53
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
Of course, as was said today on several occasions, you cannot deal with the outer world on one side and the European world on the other one. And here there is also something that we are elaborating on – or trying to elaborate on – in our concept, to make a clear link between the Military Operations outside of Europe, because this is our mandate, and also the prolongation with all the elements which were described this morning and the External Action Service. Normally, by the end of June, we should have a draft, and in September we shall discuss with the Member States on the basis of this draft. Are we working alone in our corner? No. Of course we are very aware of the work on the European Union Strategy, which is ongoing and involving the Commission and the External Action Service especially. We are also, of course, regularly speaking with Nato, in the agreed Framework. It means through our informal staff-to-staff talks. This would conclude my briefing. A last point I would like to raise. What I would like to share with you is that the idea of training and exercising is very well taken into account. This year we conduct an exercise – multilayer – which is ranging from the top political level down to the regional, operational, military level, involving the whole chain of crisis management structures. It will not be possible for October of this year to insert Cyberdefence as a theme of the exercise, but for sure, it will be in the next exercise. It was clearly expressed in the PSC and in the Military Committee that there was in urgent need to take this new threat into account.
Questions and Answers Fabio Rugge, Italian delegation to Nato I see the requirement for immediate concept for EU Operations over the Area. My question is: in case of a major cybercrisis, why should a Member State refer to the EU and not to Nato, due to the fact that Nato is, of course, very well advanced in terms of doctrine and preparedness? Air Commodore Pascal Roux I love your question, because it reminds me that I forgot something. I did not want to elaborate on EU, Nato, and all that. You give me the occasion to do so. The EU Military Action is part of a comprehensive approach. And I do not speak about "in coordination with external actors". This is a comprehensive approach within the EU, using all the EU actors, and this makes a difference for me. Because – and as was said before – a cyberattack may reach a specific domain, the Military, but, for sure, it will also have a contaminating effect to the other linked domains, and as a principle in a comprehensive approach, all the domains within the EU are interlinked, and very closely, first in the definition of our objectives and then in implementing the missions. And this may make a difference. At the end of the day, it will be the Council, the NAC for Nato and the EU Council, who will decide what they want to do: we are on both sides in an intergovernmental domain. And actually the the Member States or Nations
54
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
are deciding what to do. So this is, I think, partially answering your question, because there is not just one answer to it. It will be on a case-by-case basis, and I think here, the Councils, the two Councils will show, through a constant dialogue, that they are not ignoring each other. They will decide who does what, and, probably both will take measures. And I have a preference, I play for my team, for the EU Members involvement. I think that there is maybe more potential there, due to this comprehensive approach, more interest to play with the EU tools. At the end, it is up to the Member States and Nations. Jakub Boratyn´ski Head of Unit, “Fight against organised crime”, DG Justice, Freedom and Security, European Commission Concerning the concert and the title of the event, which speaks about cyberstrategy, indeed it does suggest a much wider approach to the issues of cyber. So we have a particular involvement, I mean, I represent DG Home Affairs, which is basically that part of the European Commission whose natural interlocutors are law enforcement, some judicial authorities. We act via such measures as the European Criminal Law. So, if we start from the basic issues, obviously we deal with those aspects of cybersecurity where we know that, or we suspect that there is a malicious intention. we are dealing with cybersecurity incidents or cybersecurity threats that emanate from criminal activity. Over the last decade that area has been an increasingly lucrative criminal market where organised criminal groups are willing to invest in. That very much follows the nature of organised crime, which is essentially a profit-driven industry, and looking at those issues from a criminal perspective, it is clearly one of the best examples of where one could generate a very high profit with a quite low risk. I would say that in spite of the efforts, we are definitely far behind. I just want to briefly go through several key elements of what we are trying to – at the EU level – provide in added value. I mean, clearly this is an area where, when we speak about internal security, it is the Member States to set our – I mean, we are not from Brussels chasing criminals, this is done on the ground by law enforcement people- goals. Cybercrime has been very much advancing, and briefly after the entry in force of the Lisbon Treaty, we had the first important policy document in internal security strategy. That can be seen as a sort of a very much older European security strategy which was an attempt, in quite operational terms, to design what are the main threats and main objectives, and cybercrime has been described in detail. It is one of five main areas. There have been a number of specific policy announcements. One that we are close to completion is the new Directive on cyberattacks, which tries, in particular, to reflect the reality and the obstacles by botnets. Of course to fight botnets you need to hold two bots and to separate what was done. From a criminal perspective, of course, it is a question of criminalising that. That requires enforcement, to effectively prosecute such cases.
55
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
The Directive, as I said, is coming to completion. Basically it is an agreement of substance that has been reached by the Council and by the Parliament. If all goes well, if Schengen travels will be overcome, it will basically be adopted in September. Another very important element of different measures that we take was the decision to establish a European Cybercrime Centre. It followed, again, calls from Member States to look into such a possibility. The Commission has undertaken a feasibility standard, trying to define the location, the tasks, and again, the added value of such a Centre. That has been a very interesting process, involving law enforcement people on the ground, and very importantly, involving also other communities that are relevant for the effectiveness of fighting cybercrime. And this is, I would say, very much reflected in the design of the Centre. So, basically, the idea is that the Centre, again this idea of subsidiarity. It is not going to deal with all types of cybercrimes, but the focus would be on three main areas. First of all, the cybercrime perpetrated by transnational organised crime groups, in particular when they generate large profits. So we are talking about one major online fraud, scams. Secondly, when the cybercrime causes serious harm to the victims. Thirdly, it is the focus on cybercrime or cyberattacks that affect critical infrastructure and information systems in the Union. Now, in terms of the core functions of the Centre, the first one, the main accommodation of the communication, we established to assign such a Centre and we also decided to establish it within Europol. The several options have been unrealised, but given the already substantive track record of Europol in this area, the decision was made to actually build up on all that had been done so far by Europol. At the same time, going beyond just a pure law enforcement operation. The first core function is the role of the Centre as information for call points, very much related to the idea of data fusion. The idea that in order to fight cybercrime effectively, you need to draw information not just from police – which is like a mainstream work of Europol, but you need to reach out to the private sector for obvious reasons. I mean this is an area where the great majority of infrastructure is owned by private sector. To reach out to the communities – that I understand was very much represented in the previous panel, to the Computer Emergency Response Teams – and as well as to open sources, academics, research, so that actually all of that could build into, not just operational information about specific cases but the new type of strands, malicious software, new mode operandi of committing cybercrimes, etc. Secondly, the function of the EC3 is to support cybercrime expertise, in order to support Member States into capacity building in their being better able to deal with cybercrime threats. There have been considerable training efforts made, but definitely more needs to be done and it needs to be streamlined. The service function is no way the core business of Europol now, but across different crime areas it is to support to Member States cybercrime investigations. Again, just to make things clear for those who are perhaps less familiar with Europol’s work it is not a federal European police – what Europol can
56
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
do, however, is to, in a way through just maybe sort of a backup office, analyse information coming from different sources, cross-track data concerning telephone numbers, perpetrators, other types of evidence. And in that sense, in a very practical way, basically to support the cases. With the development of Europol, we have a situation that even the Europol team is on the ground, when maybe there are some houses being searched. Anyway, Europol experts would not participate directly, they would just be on site to be able to connect to Europol databases and process that information. With the Cybercrime Centre having more capabilities in general, that part of what would basically be much more – would have a better component, would simply have a capacity to do more than is the case now. And finally, it is the idea of the Cybercrime Centre becoming, in a way, a collective voice of European cybercrime investigators, so that afterwards these people can provide quality input into, developing strategies, legislation, so that these basic concerns, these needs are well represented. Very much at the centre of the concept of the Centre was to go beyond the silos in which we actually deal with cybersecurity issues from different angles, from telecommunication, from private sector, from law enforcement, etc. So the idea was that basically the Cybercrime Centre should actually be a place where different communities meet. So very important for the construction of the Centre the idea was and the decision basically to set up a Programme Board, where we would have different bodies represented: Enisa, the European Police College, Eurotrust, that is responsible for coordinating judicial cooperation across the Union, the task force of heads of cybercrime units in Member States, EU Cert. So again, all of these examples with the purpose of providing results and of steering the way of the Centre that would actually be beneficial to everyone. We are in the process of building it up. There was a first meeting of this future Programme Board a couple of weeks ago. The Centre is to become operational in 2013 and to function at full speed with all functions in 2014. A small issue to be sorted out are the resources. Indeed it is quite a challenge as basically this policy decision came in time of austerity or budget cuts or decisions to cut the Agency’s funding across the board. So, I mean we have to admit, I mean this is not sorted out yet. But, we are confident, that a solution will be found, but that also there is a great readiness of Europol to make internal shuffles without, of course, jeopardising the work on other files. There are of course many other areas of work. I think we are quite happy that we managed to get a political agreement on producing a joint Commission Action Strategy, because I think there is definitely, in the outside world, a legitimate expectation that the EU would provide some coherent narrative and approach to cybersecurity issues. But at the same time, I have a clear understanding that this is not an easy task. It is a very difficult task because we are talking about really quite different dimensions of work, and it is very much also related to the type of the added value that the EU could bring in – whe-
57
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
ther we speak about Internal Market – of course those competencies are very well developed – whether we speak about the area of internal security, the former third pillar, again, an added value could be given, but not – if we go as far as talking about, obviously, the CSDP, Defence Capability. Giuseppe Abbamonte Head of Unit, Electronic Communication Policy Development, DG Infso I will not say anything actually on the Integrated Cybersecurity Strategy, because it is very much a work in progress, and we are holding a drafting meeting in the afternoon in my office on the Integrated Strategy. It is very much work in progress, and I am refraining from talking about it. We represent in DG Information Society the civilian strand and all the integrated strategy. So we look at the matter over Network and Information Security as we call it. We do not speak about cybersecurity. We speak about NIS, Network and Information Security from a civilian viewpoint, from an internal market viewpoint. We look at the matter from a purely economic angle because the Internet has become the backbone of our Internal Market. The Internal Market is highly dependent on web functioning and resilient network information systems. And if one of these collapses for whatever reason – because of an attack, or because of a human mistake, a maintenance mistake or because of an Act of God, lightning or floods, or an earthquake – This may have serious implications. They may result in serious disruptions for the internal market. They may undermine the functioning and the completion of the internal market. So that is really our starting point. I believe that what I will answer the question that was asked before, about the capabilities and the Certs. It is exactly what we have in mind. So we are all working now on a legitimate proposal which will be one of the elements of the strategy. The proposal will be it may be a regulation -but it would be a legislative proposal on network and information security. The deal of the proposal is to provide for a common minimum level of security, across the European Union. There are three strands in the proposal. The first one is the intervention at national level, but in effect, not all Member States have the same level of probabilities. In some Member States, in particular the north-western area, or the Nordic part of the European Union, capabilities are very high, and progressively the level of capabilities and preparedness decreases when one moves south and decreases even further when one goes east. The first step would be to make sure that everybody has sufficient capabilities at national level to be credible in the market or at European level, so as to be able to cooperate on an equal footing with the European partners. Basically, the proposal will ensure that everyone has a body which is responsible for the coordination from a civilian viewpoint of cybersecurity: All Member States have a Cert in place. All Member States
58
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
develop a strategic vision of security. They have a security strategy and with a contingency plan. So they have a response plan in order to improve their preparedness if something goes wrong in the network and information systems. And everybody – and this is very important – engages regularly in exercises to improve their preparedness. The second strand of our strategy is cooperation. Currently the cooperation takes place on a spontaneous basis; everything depends on the good will of the Member States. Of course, those who believe they have a good security systems in place talk to one another, exchange information, and cooperate. Not everybody is part of this club, because, as I said before, not everybody has the same capabilities, which underlines the trust, the mutual trust amongst the Member States. And, therefore, if there is no framework which organises this cooperation amongst the authorities, the second strand would be to make sure that a framework for the organisation of cooperation is put in place so a network is created where Member States can exchange information, best practice; they will be subject also to peer reviews for the other Member States, and also, they alert one another if something goes wrong with an entity. If a fight arises, or if someone becomes aware of an incident. Something important is that, in order to exchange information with confidence, the information has to be exchanged on a secure infrastructure, an infrastructure that is resilient and that is dedicated to the particular purpose. The third strand of our strategy is the private sector strand. The private sector is very important. It owns more than 90% of all these infrastructures. In the telecommunications sector, there are rules, reporting rules on security breaches. In the communication providers, for example Belgacom, if there is a security incident which compromises seriously the functioning of their network or their services, the offer, Belgacom, is required, under the Telecommunications Framework, to notify the incident, to report it to the Authority. The same rule does not apply to information society services, or will not apply to Skype, for example. Skype is not a telecommunications provider, but it is considered as an information society service provider. It will not apply to the Cloud service – we call it Cloud service provider. It would not apply to Amazon as a Cloud service provider. It would not apply to web mailing services. It would not apply to a number of services of information society services that represent key inputs in the area’s economic sectors. We believe that there is something that is very, very important, because by providing – by requiring information society service providers to notify serious security breaches to the authorities, we provide them with a strong regulatory incentive to embrace a culture of risk management. We basically ask them to identify the risks, dimension the risks, and manage risks effectively. Something important is that we believe that these three layers, which are mutually enforcing – because, if you have the reporting, the authorities, and the national authorities will normally get a more precise idea of what is going on nationally. So if the threats are increasing or decreasing, how many –incidents – they will have a much better idea of what going on in terms of security in the country, and they will be able to prepare themselves better and also better manage the risks. If the Member States have sufficient capabilities, they would be able to sit, on footing around the table and cooperate. Cooperation
59
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
is very important and needs to be organised. It is very important to make sure that information flows securely. It is also very important for the international dimension, what we call the internal market or the external dimension of the internal market, because if the Union puts its house in order, the Union would become a much more credible interlocutor internationally. It would also be able to export its values and its cybersecurity coverage abroad. Heli Tiirmaa-Klaar Advisor to the EEAS in cybersecurity policy I am from EU External Action Service. You probably all know what it is. It is the new Foreign Service for the European Union. I have a background in diplomacy, intelligence and defence. We are now talking about cyberspace and cyberthreats in this new domain that is supporting all the human activities around the globe. In order to maybe talk about the EU external policies in this domain, I would like to sort, maybe conceptualising how the EU as a supra-national international organisation to which governments have allocated some of their sovereignty, especially in the internal market field and also in Home Affairs as a result, can combine all these different challenges that we face in cybersecurity to a comprehensive EU approach, and how we can articulate this to the outside actors. This will be the difficult task of the External Action Services in the right to do this exercise. If you see the cyberspace, then you can say that we have clear layers, where we have respective problems. We have a global layer, with the very global problems. Then we have more regional issues. Then we have the issues at the national level. The EU is an interesting element, because the EU can actually address many layers at the same time. The EU can address a very global layer, very regional layers – address the Member States preparedness and capabilities, but also the actual citizens and individuals that we have I this new domain. So, therefore, somehow we have a lot of opportunity to craft very clever policies here in the European Union, and I hope we are well prepared and wise enough to use that opportunity. Now I turn to more international issues, which is the EEAS role. How the EU would see this new domain covered by the rules and laws that we need in the international society. First, one of the niches for the EU amongst the many international actors is its unique capability of exporting its norms, and the way of doing business to abroad. Sometimes the EU is called normative power, because, we also have economic power and the different parts of power, but normative power has been an important tool for the EU in the past 50 years. This is probably one of the issues that could also apply for cyberissues, because we have a few good practices inside the EU that we can export to the outside world. We have good laws, international laws, crafted in Europe that we have to allocate outside. And, we could also be the ones who are the master citizens in international society following those rules. Therefore, let us start with the fundamentals of EU core values. We always stress the importance of freedom of expression, access for information, freedom of association, and other basic human rights
60
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
online. The idea here should be that all the actors in cyberspace should respect the same fundamental rights, as respected in other parts of life. Then, of course, we have to think how the States should be acting in international society, because the States recently have not performed their best way in cyberspace. So the central understanding here should be that when it comes to the use of force, then the states should follow those old laws that we have while we are engaging in state-to-state activity which is not the nicest one.We have to make sure that the laws on conflicts and international material law apply also in cyberspace. Of course, we have different views from other parts of the global society, and some countries will propose a cyberwarfare treaty or some other forms of escalation, but I think our German colleague just very well explained how this kind of treaty approach will not be viable, because it is not possible to verify this cyberwarfare treaty. Therefore, the EU would stress the applicability of existing international laws in cyberspace. When it comes to international security and also when it comes to fighting cybercrime, because we have the Council of Europe Convention for Cybercrime which is the best international law instrument so far to instil the notion of minimal state responsibility around the globe. One of the objectives that we have is to promote that Convention worldwide. Then we have a stream, one policy which is already quite developed, that we call “Capacity building in cybersecurity�. We are looking into more general capacity building as well, as it comes to creating safer and more interoperable information infrastructure around the globe. This infrastructure is run by the private sector, so we could be wholly supporting the private sector activity there. The best the EU could do is something that we do in our Member States and raise preparedness in our Member States, what the Commission is already doing very well. As the big development aid donor to the transition in developing countries in the world, the EU is well-placed to bind cybersecurity, capacity, law-enforcement training, and judicial training, into its aid policies. That is what we are already doing. There are a few other international issues which also are quite important, and as I already stressed, our cybersecurity activities should not be seen as the way to seek more government control over this domain. So we would support free and open Internet and the continuation of the Internet governance model that we have right now, which is a multistakeholder model. But at the same time, since security issues are so prevalent already, we have to really discuss with other international actors how we are going to have more stable and accountable Internet. This is one of the tasks that the Member States would like to see the EU doing as well. To conclude, of course the EU is not in isolation. We have many other partners of international organisations that are looking at the cybersecurity issue. The EU has this ability to look at this issue from very different angles, and be it from more technology issues or law-enforcement issues, or more diplomatic issues. So we try to combine all these different angles while we are engaging our international partners and other international organisations into more coherent EU international cyberpolicy which we hope to maybe present already in the upcoming communication. But, of course, a lot of work and consultation with the Member States remain to be done.
61
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
Rear Admiral (2S) Denis Trioulaire Capability Manager Knowledge, EDA Admiral, Mr Ambassador, Ladies and Gentlemen, thank you for inviting the European Defence Agency today to this Seminar. As you know, the EDA is an agency of the Council, tasked by the Lisbon Treaty to support the Council, and the Member States in their effort to improve the European Union’s defence capabilities and common security and defence policy. As the last speaker, I have the challenge to catch and keep your attention after so many high-level speakers have covered the area. I would like to build my intervention upon three main generic characteristics of the threat in order to then better assess what a global response at EU level – especially for the military – could be and to give you an indication of the role of EDA in that. The Cyberthreat covers a large scale of actions from espionage and theft of intellectual property up to wide scale disruption causing a lot of physical damage. • It is worldwide and ignores physical boundaries, both territorial boundaries and those of reserved protected areas such as military zones; • It is extremely rapid, and the order of magnitude of time for reaction counts in seconds or, at the best, in minutes; • I t is versatile, permanently changing its shape and hiding its origin and motivation. So let us look at the first one: It is worldwide, meaning that the most appropriate reaction is to be built on the principle of close and active coordination, not only at the national inter-ministerial level, but also, and probably even more so, at multinational and international levels. For that reason, we are not very well prepared as we have a natural historical trend to divide the cyberspace domain into different pillars or stovepipes that do not speak together easily: civil protection, crime dimension, intelligence services, and defence. At the national level, it is in the domain of responsibilities of the different ministries and also in the transversal domain exerted by the national security agencies. At the EU level, the different DGs of the Commission mainly Connect, Home, and Enterprise and Industry, play an important role as well as Enisa, Europol with the recently created Cybercrime centre; the European External Action Service; the EU Military Staff, and, of course, the European Defence Agency. At the international level actors like the United Nations, the ITU, the Organisation for Security and Cooperation in Europe, the Internet Cooperative for Assigned Names and Numbers, and, of course, Nato are all relevant actors.
62
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
In this landscape there are some helpful coordinating roles played by the National Security Agencies, by ITU, and by the bridging position of some entities such as Enisa on economy and society; Europol on Crime and civil security; External Action Service and the EU Military Staff on civil security and defence, and EDA for the Ministries of Defence of the EU. Nevertheless, all that is providing is the most complex cybersecurity community map, difficult to coordinate and thus bringing a tremendous advantage to the initiative of an attack. How to face these difficulties? First, by admitting that there is a coherent and efficient EU level of coordination between Member States that share the same views and will face the same threats at the same time. A comprehensive EU cyberstrategy is certainly a central core effort to be provided. In that, the military also have an active role in this comprehensive attempt, both as defender of their own information infrastructures, but also as users of national critical infrastructures and, more and more, of the wider cyberspace. The role of EDA is not central, of course. You have heard the three main actors just before me. The elaboration of an EU strategy is the role devoted to the Commission and the External Action Service as well as to the EU Military Staff. Nonetheless, EDA can participate as an active contributor and bring its support by playing the role of a hub between national and Defence Ministry organisations and the EU civil cybercommunity. It can also utilise the 21 common Member States and Nations shared with Nato to align the different national cyberdefence concepts. Member States have raised awareness by installing cyberdefence in their main Action Plan drawn up for EDA, called the Capabilities Development Plan. It is one of the ten priorities. It has led to the creation of a project team gathering EU cyberdefence experts and actors from the EU civilian world. This team recently gathered for the second time with 19 Member States. A project officer expert in cyberdefence is providing the necessary support to this community, linking in Brussels with the EU actors and wider with other international organisations such as, very recently, with the Cooperative Cyberdefence Centre of Excellence in Tallinn. This is not an unusual way of running action in EDA on a CDP priority, but it shows you how things develop and the importance of these 26 common views of MODs that, step by step, are rising within such an organisation. The second aspect of the threat is that it is quick, meaning that reacting to such a threat needs already elaborated plans and also, at an earlier stage, shared capabilities. One may oppose that the threat changes so quickly that even plans could become rapidly out of age. Then what to say for capabilities that sometimes take years to be built and to become operational. An aging posture is probably one of the best-exploited weaknesses and is one of our major issues.
63
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
There are many aspects that sustain the velocity of the reaction. One is to hold a proper cyberdefence capability, covering as many aspects as : • E fficient monitoring, building a situational awareness feature; • P reventing and predicting, with platforms to survey; • Protecting and detecting, especially on Advanced Persistent Threat malware, Assessing damages; • Recovering. In a proper capability oriented approach, these different domains, where we need to be efficient, cover the whole aspect of capability development, including organisation, systems, education and training, strategy and concepts, as already mentioned, with the most urgent probably being able to build a common culture. A common shared education and regular training of the different communities of interest together is an important asset. There is a need to organise regular EU comprehensive exercises and enhance their frequency to adapt them to the rapid evolution of the threat. Scenarios have to link with the most recent lessons learned as aging ones may give a false view of the level of security aimed at. Establishing strong networking will help more rapid and efficient reactions. It is not only a matter of physically linking our rapid reaction centres like Certs, but also granting the necessary interoperability through the usage of enterprise-wide architectural frameworks with a service-oriented approach at the earliest stage of new projects. The role of EDA in that: we are more, I would say, in our raison d’être. As already done in other domains, such as helicopter pilot training, EDA can federate the willingness of Member States ready to install, on a more permanent basis, and by the means of ad hoc projects, the necessary structure to conduct exercises quickly and easily. This is, of course, to be coordinated with other actors such as Enisa, the Centre of Excellence in Tallinn and national initiatives. As in other domains, pooling and sharing is probably the most suitable way of developing such a capability in times of financial constraints, when duplication of efforts or non-identified gaps would create large weaknesses. The idea of a common market place of cyberdefence where Member States could inform each other about their planned actions, projects and concepts is a possible way that EDA is exploring. For the moment, our Member States indicated initial work strands in cyberdefence. The first of them is a stocktaking study to shape the environment that we are currently conducting. The third aspect of the threat is that it is versatile. We meaning that the origin of the threat remains difficult to identify, unless you first understand what the objective of the attack is: economic, societal,
64
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
or governmental, to get an idea about the motivation of the attacker. Is he a spy? a robber? a terrorist? The paradox is that you need time for that when you have not. The point here relies upon the advantage of having earlier-installed solid rules for rapid information-sharing and owning the most advanced technologies. Sharing intelligence may provide the most efficient reaction, as you will probably not be able to stay in a protective stand for long. Ideally, in terms of immediate action, you have first to terminate the intrusion and then to think about whom it was and what might have been his motivation. And there, a pertinent networking for sharing information at EU level would be able to offer the necessary wide dimension that gives more room for manoeuvre than for a single Member State; provide the large enough feed-back from attacks or incidents on which efficient reactions can be built; and finally, maintain the right level of industrial critical know-how. Information sharing, intelligence sharing, and forensic analysis sharing are fundamental. However, intelligence, especially on such sensitive data, is one very difficult thing to share, and it will only happen through a long patient process. This is by providing evidence of a better efficiency that we will succeed in that perspective. Another important area in that domain is for EU to keep the best of cybertechnologies to be handled and controlled at home, such as cryptology, mathematical models, complex systems analysis, and the so crucial human factor, as the operator is frequently the weakest link of the chain. The role of EDA there is also one of our missions, to monitor the necessary European Defence Technological and Industrial Base, the so-called EDTIB – and, in particular, the key critical technologies are still there – and to warn Member States of deficiencies in these domains and to provide the necessary European awareness about where the competencies are and what needs to be done to protect them. In the area of R&D? a very important action is the mutual seek of EDA and the European Commission to identify the relevant synergies that can be shared. There is a huge effort provided by the DGs Connect and Enterprise & Industry, in the Frame Programme 7, with more than 80 projects for an amount of nearly €350 million. That is why we called it in production this morning. So the ambition of EDA is not to reach such a similar R&D plan, but to use the vehicle called the European Framework Cooperation to orientate the studies launched within EDA on R&T in a more coordinated way, to avoid covering similar topics, and to have access, as far as possible, to outcomes from the FP7 studies that might be of interest for the Defence community. To summarise: A global response at the European level is not only possible, but it is inescapable, and probably the efficient way to complement national efforts, and it would be a mistake to oppose them.
65
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
In this domain, EDA can offer: • To bring a common coordinated support to the elaboration of a future EU Cybersecurity strategy and a related Cyberdefence concept for the military; • To provide a forum to discuss and exchange national views on Cyberdefence matters with all relevant actors; • To enhance awareness of the on-going issues and participate in sharing of information and thus create a Cybercommunity between Member States; • To encourage multinational cyberdefence projects, such as joint exercises or possible cyberdefence burden-sharing activities through pooling & sharing; • To develop synergies between civilian and R&T projects; • And finally, but not least, to monitor the Key critical technologies the EU has to keep at home.
Questions and Answers From the floor Mr Boratyn´ski, you have made reference to Europol and the importance of sharing information between all the stakeholders. There is the chapter, Article 25 of the Europol that does not allow sharing information about the law enforcement bodies. So, we are industry. We are interested in collaborating. How can this obstacle be solved? The second question is for Mr Trioulaire. You have mentioned from the European Defence Agency the interest to define which are the key-technologies required to be in Europe. My question will be: do you think it is required to have a European trusted supply chain, and which actions would be required to develop it? Jakub Boratyn´ski When we speak about reaching out to other committees and sharing information, obviously an important distinction has to be made between the information that contains the same personal data and therefore is considered sensitive, and that type of information that is obviously subject of a lot of legal regime, related data to tasks in Europol. In fact, actually information from private sector can be provided to Europol, but that can only happen today via the intermediary of national law enforcement authorities and national liaison officers that are seconded to Europol. This issue does create practical difficulties in terms of speed and effectiveness, and this issue is subject of, basically, serious discussions in the context of a new Europol legal basis that will be in the form of regulations that the Council will probably present this year. But, the idea of data fusion obviously goes far beyond also dealing with the personal related data, but it is, again, about new threats, about mode operandi. Therefore that has to be realised that it is not just about, you know, traffic data. That comes from the private sector.
66
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Rear Admiral Denis Trioulaire Regarding the need of a European supply chain, I think it is a very difficult question, because we cannot not recognise that all the technologies we use, and more and more in the military it is the case, are cost technologies. And some of them, many of them, most of them, are coming from the Far East. So we have to concentrate, focus on what is the core business, what is, in fact, giving us this step ahead, giving the balance, especially for this domain of facing the cyberthreat, and it could be applied for others. So it is rather a matter of, first of all, mapping what is important, where are the gaps, where are sometimes the overlaps that exist and perhaps it costs more money, identify the companies that are in charge of these key technologies, but I am not sure it could be from alpha to omega ownership for the EU. But I think on some specific link to security aspects, I think we could do that. But it does not exist for the moment. We do not have this map. So it is important to have it. I think, answering to you, it cannot be a complete chain of the IT domain to be in control. François Géré However, I would like to stress the fact that we have a large number of presentations and, as a matter of fact, I have been struck by the fact that there are many, many things which are in common and which are shared by all the panellists, by all the participants, and including the questions from the floor. I would like to stress the fact that no one has even questioned the need for a European cyberstrategy. As a matter of fact, those panels and those discussions have demonstrated that there was a process which was going on, and this process, from what I have heard today, is based on what I would call “the four C’s”. The four C’s are: Coherence, Cooperation, Coordination, and, finally, Capabilities. That means that what is needed is that all the players in the cyberspace have to get together, have to exchange information, have to get better knowledge from the capabilities which are offered by the market and the needs which are required by the institutions. Cooperation and coordination should be achieved at all levels, between the public sector and the private sector. It also has to be achieved through cooperation between intelligence agencies and all the players, including those inside European Union. That means it was good to hear that in a few minutes you will have a meeting which demonstrates something which is sometimes underestimated outside, which is the coherence and the integration of the work inside the European Union Directions and Units. And that is very good news for all of us. I will conclude by saying that we certainly face some kind of dilemma. And this dilemma will continue over the coming years. We will have to work in order to address it properly. The dilemma is the need for legislation, the need for more regulation, and the need for some innovative regulating. All this should be created or advanced or strengthened. Having said that, there is a huge, huge requirement to keep what is essential, and the essential is freedom and prosperity. So we will have to work and develop a European cyberstrategy through the use of those two elements in order to combine them and create a house with two strong pillars, and make the attention not to put them into contradiction. That will be our challenge again for many, many years to come.
67
4 t h I H EDN B r u ss e l s D ay J u n e 2 8 th 2 0 1 2
Towards a European Cyberstrategy?
68