Il y a dans l’air comme un parfum de cyber-mobilisation, de cyber-crainte, de cyber-esprit cocardier, de cyber-patrie en danger, de cyber-lois et, commencent à dire certains, de cyber-oubli des libertés fondamentales. Ce fut d’ailleurs le thème d’un des ateliers du FIC 2010, qui réunissait MM Guillaume Tissier , Directeur au Pôle risques opérationnels, DEIS, l’Ingénieur Général des mines Jean-Pierre Dardayrol, du Conseil Général de l’Industrie, Sébastien Heon, Senior manager chez EADS, Stanislas de Maupeou, Chef de la cyberdéfense de Thales, et Philippe Wolf, Ingénieur Général de l’Armement, représentant l’Anssi. Un aréopage de sages qui, près de trois ans après la publication du Livre blanc sur la Défense et la Sécurité nationale, faisaient le point sur la collaboration public/privé. Débat d’autant plus intéressant qu’il se déroulait après de nombreuses escarmouches techno-politiques (Estonie, Géorgie, Iran, intrusions des administrations européennes « apparemment Chinoises », vague d’attaque Aurora etc).
Si l’Administration Française parvient généralement à se garder des sinistres informatiques importants –grâce notamment à l’efficacité du CertA-, ce n’est pas toujours le cas des infrastructures du secteur privé. Notamment, explique Philippe Wolf, en raison de la rapidité avec laquelle évoluent les menaces et la discrétion de certaines frappes. Ainsi, des fléaux tels que les botnets sont comparables à des armées, contre lesquelles seule une cohésion et une réaction défensive toute aussi rigoureuse et martiale peuvent s’avérer efficaces. Mais les cyber-attaques ne se résument pas à la seule action des réseaux de bots. Contre les attaques ciblées et concertées, visant un secteur très particulier, les réponses sont encore insuffisantes. Stanislas de Maupeou déplore : «Il n’y a pas, ou pas assez d’exercices de sinistralité, pas d’habitude à travailler en mode dégradé… une crise doit se préparer. Il n’est pas normal que l’on soit parvenu à totalement intégrer dans le fonctionnement de pratiquement toutes les organisations, de l’Administration à l’ensemble des entreprises, des exercices « d’alerte incendie » ou d’évacuation d’immeuble, et que l’on ne puisse faire la même chose en matière de sinistres des systèmes d’information »…. Alors que l’économie de tout le pays repose de plus en plus sur lesdits systèmes d’information « une crise, insiste de Maupeou, çà se prépare ». Et d’autres intervenants d’abonder dans ce sens, en rappelant les réflexes premiers de toute défense organisée : prendre en compte l’élément humain, comprendre la menace, anticiper ladite menace. Combien d’entreprises en France ont réellement testé leur PRA –voir leur PCA dans le cas de processus stratégiques- selon un calendrier régulier ?
