Les cyberattaques perpétrées récemment dans le monde entier, notamment contre des hôpitaux, nous rappellent qu’il est nécessaire d’être mieux préparés à ces événements. Les organisations de sécurité publique ne sont pas épargnées par ces risques informatiques, qui évoluent constamment. Lorsque des centres d’appel d’urgence sont touchés par des cyberattaques, la perturbation des premiers secours qui en résulte peut provoquer des décès.
L’Association européenne du numéro d’appel d’urgence estime qu’il est indispensable, pour la sécurité des citoyens, de faire en sorte que les services de sécurité publique ne subissent aucune interruption. Les services d’intervention d’urgence doivent mettre en œuvre des garanties adaptées et efficaces pour protéger les infrastructures critiques et les informations sensibles.
Après les attaques du logiciel rançonneur WannaCry en 2017, l’Association européenne du numéro d’appel d’urgence a mis en place un groupe de travail sur la cybersécurité, pour échanger des bonnes pratiques et élaborer un ensemble de recommandations concrètes spécifiques pour les organisations d’intervention d’urgence. Ce groupe de travail a consacré un séminaire en ligne à ces questions et a publié des recommandations en matière de cybersécurité. Depuis plusieurs années, la conférence annuelle de l’Association européenne du numéro d’appel d’urgence met en lumière l’importance de ces enjeux, que le séminaire 2018 des membres de l’Association a également soulignée.
Ces recommandations portent notamment sur la nécessité de prendre en compte la cybersécurité dans l’évaluation générale des risques, de former les employés, de mettre en œuvre des solutions technologiques et de réaliser des tests de vulnérabilité et des exercices de réaction aux incidents informatiques.
Association européenne du numéro d’appel d’urgence – European Emergency Number Association (EENA)
La protection de la disponibilité et de l’intégrité du cœur public de l’internet exige une étroite coopération entre différents types d’acteurs, notamment la Société pour l’attribution des noms de domaines et des numéros sur Internet (ICANN), organisation à but non lucratif, et des entreprises privées comme Nameshield. Cette entreprise française indépendante garantit la protection de l’identité et la résilience de l’internet grâce à ses propres infrastructures DNS résilientes et basées sur la diffusion.
Le système de noms de domaines est une sorte d’annuaire de l’internet, dont il est un pilier fondamental. Ce dispositif traduit un nom de domaine en une adresse de protocole internet, à partir d’une base de données répartie sur des milliers d’ordinateurs. En cas de défaillance du système de noms de domaines provoquée par une altération des données ou par une attaque par déni de service, les sites internet et les messageries électroniques ne sont plus accessibles. Il est donc indispensable de garantir la protection et la disponibilité du système de noms de domaines.
Pour traiter les vulnérabilités de ce système, un nouveau protocole, appelé extensions de sécurité du système des noms de domaine (DNSSEC), a été élaboré avec le soutien de l’ICANN. D’autres solutions, comme le verrouillage de registre ou les certificats SSL (Secure Socket Layer) peuvent aussi permettre de garantir la résilience de l’identité. En protégeant les données sur des cartes d’identité de noms de domaines et en offrant un service de haute disponibilité, Nameshield contribue au deuxième principe de l’Accord de Paris et protège le cœur public de l’internet.
La coopération de toutes les parties prenantes est nécessaire pour répondre aux menaces qui visent les principaux protocoles et services de l’Internet mondial. La plupart des infrastructures, services et produits sous-tendant Internet appartiennent en effet au secteur privé ou sont régis et entretenus par la société civile sous forme de communautés techniques.
Si l’idée de protéger les fonctions essentielles d’Internet n’est pas nouvelle, ce n’est que récemment que cette notion a fait l’objet de plusieurs propositions de normes, venant notamment de la Commission mondiale sur la stabilité du cyberespace (GCSC) initiée par le Centre d’études stratégiques de La Haye (The Hague Center for Strategic Studies - HCSS). S’appuyant sur le rapport de la GCSC intitulé “Faire progresser la cyber-stabilité”, qui appelle à la création de communautés d’intérêt, le HCSS lance une communauté d’intérêt sur la protection du coeur public de l’Internet (“Public Core CoI”). Cette initiative rassemblera les acteurs engagés pour protéger le coeur public de l’Internet au sein d’un groupe de travail qui se réunira régulièrement.
Ce groupe discutera de la nécessité de préciser davantage le principe de protection du coeur public de l’Internet, d’explorer les options de mise en oeuvre et de suivi de ce principe, ainsi que les normes associées. Il réunira les principales parties prenantes afin de les sensibiliser aux menaces qui pèsent sur les protocoles et fonctions de base d’Internet, de concevoir des bonnes pratiques et des propositions de politiques publiques et d’élaborer un cadre commun définissant les violations de ce principe. Les organisations qui souhaitent rejoindre cette communauté d’intérêt peuvent écrire à cyber@hcss.nl.
Les interférences dans les élections font peser une lourde menace sur le droit universel des personnes à prendre part à des processus démocratiques. Les gouvernements démocratiques et les entreprises du secteur des technologies du monde entier s’efforcent pourtant de résoudre les problèmes soulevés par les tactiques et technologies d’ingérence les plus récentes. Il s’agit d’un phénomène d’ampleur mondiale et des cas d’interférence dans les élections ont été observés au Mexique, en Macédoine du Nord, en Ukraine, au Kenya, à Taïwan ou encore en Turquie.
Cependant, les attaques et la manipulation coordonnée ne sont plus seulement le fait de puissances étrangères malveillantes : de plus en plus, les stratégies de désinformation internationale sont utilisées par des acteurs nationaux cherchant à diviser et à polariser les sociétés, tant dans des contextes autoritaires que démocratiques.
La TCEI rassemble d’éminentes personnalités engagées, issues d’horizons variés mais partageant un même objectif : faire en sorte que les citoyens choisissent leurs représentants librement, en se fondant sur une information indépendante. Cette commission, transatlantique et bipartisane par essence, souhaite échanger les bonnes pratiques entre décideurs et institutions du monde démocratique, sensibiliser la population aux risques d’interférence, tout en mettant en œuvre sur le terrain de nouveaux modèles et de nouvelles technologies, afin de donner les moyens à la société civile et aux pouvoirs publics de défendre la démocratie. Il s’agit d’une initiative de la fondation Alliance of Democracies, créée par Anders Fogh Rasmussen en 2017.
Transatlantic Commission on Election Integrity (TCEI)
L’Alliance for Securing Democracy (ASD), le gouvernement du Canada et Microsoft collaborent pour renforcer notre capacité collective à prévenir les ingérences malveillantes d’acteurs étrangers visant à saper les processus électoraux par le biais de cyberactivités malveillantes.
Tout au long de l’année 2020, ils ont rassemblé des membres de la communauté mondiale travaillent sur ce sujet lors d’ateliers multipartites, chacun abordant un sujet essentiel lié à la prévention des ingérences dans les processus électoraux. Au cours de ces ateliers, des observations, des idées et des bonnes pratiques ont été recueillies auprès d’un groupe divers d’experts, de praticiens et de parties prenantes de différents secteurs.
Des synthèses de ces bonnes pratiques sont disponibles ici : https://www.canada.ca/en/democratic-institutions/services/paris-call-trust-security-cyberspace.html.
Un rapport plus approfondi est prévu pour le premier trimestre 2021.
Microsoft, The Alliance for Securing Democracy et le gouvernement du Canada
Dans un monde dont la dynamique s’appuie sur le partage du savoir, le modèle du logiciel libre et l’application des licences libres prennent une importance grandissante. Les logiciels libres sont dotés d’outils juridiques, tels le copyleft, permettant de cadrer l’implication sur une base coopérative et d’une logique don/contre-don, de produire des logiciels performants et d’empêcher l’appropriation privée des codes ou le vol de propriété intellectuelle, puisque ce qui est partagé volontairement ne peut être réapproprié.
Le modèle du logiciel libre empêche ainsi le vol dans l’intention de procurer des avantages concurrentiels puisqu’il offre un mode de conciliation entre intérêt privé et efficience collective : il n’est pas question d’abandonner la paternité intellectuelle, mais d’autoriser la réutilisation afin que quiconque puisse utiliser et améliorer le logiciel libre créé sous la seule condition que toute nouvelle version puisse, elle aussi, circuler librement. La propriété intellectuelle ainsi mise en partage se diffuse dans le tissu industriel plus rapidement et bénéficie d’effets de réseau, ce qui permet de pousser à la création de standards évolutifs autour du logiciel et de ses promoteurs.
Soutenue aujourd’hui par plus de mille entreprises partenaires dans le monde, la Linux Foundation offre un soutien majeur aux communautés open source par le biais de ressources financières et intellectuelles, d’infrastructures, de services, d’événements et de formations. Ensemble, ses projets constituent un des investissement les plus ambitieux et les plus réussis dans la création d’une technologie partagée : la valeur collective du code dans les projets de la Linux Foundation est estimée à environ 16 milliards de dollars US.
How the Linux Foundation Assists
La gestion de la propriété intellectuelle dans le cyberespace pose de nombreux défis. Il est nécessaire que les entreprises et les auteurs protègent la propriété intellectuelle dans le monde numérique, qui favorise l’innovation, la différenciation et les revenus. Les droits d’auteur, les brevets et les marques de commerce constituent une partie importante du paysage numérique.
Au fur et à mesure que des pratiques et logiciels malveillants se développent, les entreprises et les individus peuvent être confrontés à de nouvelles difficultés occasionnées par le vol de propriété intellecutelle ou le piratage. Dans le même temps, l’accès à l’information joue un rôle important en termes d’éducation et d’innovation. Les évolutions de l’infrastructure informationnelle et les nouvelles menaces qui en découlent peuvent perturber l’équilibre entre protection et accès.
En Inde, le Centre pour Internet et la société défend la position selon laquelle cet équilibre doit être réétalonné dans le cyberespace. Le Centre a ainsi participé à des négociations aux niveaux régional et international dans le cadre de l’Accord de partenariat économique global régional (RCEP) et du Comité permanent du droit d’auteur et des droits connexes de l’Organisation mondiale de la propriété intellectuelle (OMPI-SCCR). En outre, le Centre mène ses propres recherches empiriques sur la propriété intellectuelle et les TIC.
Centre indien pour Internet et la société – Centre for Internet & Society India
Les programmes de Bug Bounty récompensent les personnes qui signalent des failles de sécurité. Les participants qui découvrent des insuffisances dans un équipement matériel ou dans un logiciel en font part à l’entité organisatrice du programme (« le fournisseur ») afin que des mesures correctives puissent être prises.
En faisant le lien entre les découvreurs de vulnérabilités et les fournisseurs, les programmes de Bug Bounty permettent la structuration d’un processus de divulgation coordonnée de la vulnérabilité (CVE). Ils empêchent les acteurs étatiques et non-étatiques d’accumuler des vulnérabilités et limitent le développement de marchés noirs axés sur la vulnérabilité. En conséquence, ils freinent la prolifération de pratiques et d’outils TIC malveillants qui prospèrent sur ces vulnérabilités.
YesWeHack, leader européen du Bug Bounty, promeut la divulgation proactive des vulnérabilités en organisant des programmes publics et privés de Bug Bounty. L’entreprise offre également de tels programmes aux ONG et aux associations civic tech pour améliorer la sécurité de leurs infrastructures. En mobilisant une communauté de hackers « chapeaux blancs » et en contribuant à une approche harmonieuse des CVE, YesWeHack limite les points d’entrée disponibles pour les outils informatiques malveillants.
La Fondation Carnegie pour la paix internationale a publié un rapport sur l’intégrité de la chaîne d’approvisionnement des technologies de l’information et de la communication (TIC), rédigé par Ariel E. Levite. Ce rapport appelle à agir de manière urgente pour mettre un terme aux évolutions en cours qui nuisent à la confiance dans les produits et services numériques et fragmentent la chaîne d’approvisionnement mondiale des TIC.
Accroître la sécurité des produits et services numériques d’un bout à l’autre de la chaîne d’approvisionnement est un principe fondamental de l’Appel de Paris. Des acteurs malveillants peuvent mettre en danger les pouvoirs publics, les entreprises et les citoyens en attaquant le maillon faible de la chaîne, ce qui peut avoir des conséquences néfastes en matière de géopolitique, d’espionnage, d’échanges commerciaux et de protection des consommateurs. Des efforts de coopération sont nécessaires pour rétablir la confiance dans l’intégrité des chaînes d’approvisionnement.
Le rapport souligne notamment l’importance pour les pouvoirs publics et les entreprises de prendre des mesures complémentaires pour renforcer l’intégrité de la chaîne d’approvisionnement dans le domaine des TIC et des technologies opérationnelles. Il précise les obligations concrètes que les pouvoirs publics et les entreprises doivent accepter à cet égard. Le rapport définit également un ensemble de critères objectifs pour identifier les fournisseurs de confiance et propose des mécanismes pour vérifier le respect de ces critères de confiance, ainsi qu’une structure incitative pour récompenser ceux qui assument et respectent leurs engagements.
Le monde numérique est en train de tout changer en matière de sécurité. Aujourd’hui, des milliards d’appareils sont connectés via l’Internet des objets. Bien que cela crée de grandes opportunités, cela comporte aussi de grands risques. Pour rendre le monde numérique plus sûr, plusieurs partenaires industriels se sont associés dans le cadre de l’initiative Charter of Trust.
Charter of Trust est une initiative unique en son genre qui rassemble aujourd’hui 16 grandes entreprises mondiales, dont la coopération a permis de franchir des étapes importantes en matière de cybersécurité et d’établir des objectifs ambitieux pour l’avenir. Charter of Trust appelle à l’adoption de règles et de normes contraignantes pour renforcer la confiance dans la cybersécurité et faire progresser la numérisation.
Après deux ans de travail, les membres ont réalisé beaucoup de choses, notamment en ce qui concerne la sécurité des processus, des produits et des services numériques. Au sein de leurs entreprises, ils ont réussi à renforcer la cybersécurité tout au long de la chaîne d’approvisionnement et ont fait de la « sécurité par défaut » une caractéristique incontournable de leurs produits. Charter of Trust fournit à ses membres une vision harmonisée de la sécurité tout au long de la chaîne d’approvisionnement numérique et a défini 12 exigences minimales concernant la cybersécurité des chaînes d’approvisionnement.
Les membres de Charter of Trust se sont engagés à renforcer leurs capacités sur cette question importante, ainsi que sur les autres principes énoncés dans l’Appel de Paris. Ils s’engagent non seulement à offrir une formation avancée à leur main-d’œuvre, mais aussi au secteur privé et à la société en général, et à continuer d’ancrer fermement le sujet de la cybersécurité au plus haut niveau politique, local et mondial.
Les utilisateurs doivent pouvoir être assurés de la sécurité des produits et services numériques qu’ils utilisent – un smartphone, un ordinateur, une application mobile ou une solution de cybersécurité – et avoir confiance dans la protection de leurs données personnelles. Afin de gagner la confiance des utilisateurs et de les guider dans leur choix d’achat, les entreprises doivent constamment renforcer leurs efforts de transparence et adopter un comportement responsable dans le cyberespace.
La Global Transparency Initiative (GTI) de Kaspersky consiste en un ensemble de mesures claires de vérification et de réduction des risques visant à accroître la confiance des utilisateurs et à garantir que les solutions de cybersécurité proposées par l’entreprise respectent les principes de sécurité et de protection des données.
Les mesures mises en place par Kaspersky vont de la gestion des données (transfert du traitement et du stockage des données en Suisse pour une protection et une sécurité maximales des données) à la vérification (mise en place de processus internes sûrs et fiables évalués par un tiers indépendant) et la gestion des vulnérabilités (coopération avec des chercheurs en sécurité par le biais de programmes de bug bounty, dont les prix peuvent atteindre 100 000 dollars pour les failles de sécurité les plus critiques).
La GTI prévoit également l’ouverture de Centres de Transparence, des centres de sécurité visant à offrir une meilleure connaissance des produits de cybersécurité grâce à une approche à trois niveaux, spécialement développée pour les briefings de sécurité et les revues externes du code source de l’entreprise, des mises à jour logicielles et des règles de détection des menaces.
Les enfants et les adolescents étudient, jouent et dialoguent en ligne des heures durant. Mais le cyberespace, comme tout nouvel univers que l’on découvre, présente de nombreux risques dont les enfants et les adolescents doivent être conscients.
L’Association équatorienne pour la cybersécurité (Asociación Ecuatoriana de Ciberseguridad – AECI) a lancé le projet Seguros en la Red (« En sécurité sur le net ») pour enseigner aux enfants l’utilisation responsable des TIC et les risques associés. Elle a créé des personnages amusants, qui permettent de doter les filles et les garçons d’un niveau minimal de connaissances afin de favoriser, promouvoir et renforcer une culture de la sécurité numérique. Ces personnages imaginaires, appelés « Cyber » et « Alerte », font découvrir aux enfants le cyberespace, ses ressources et ses possibilités, mais également les dangers qu’il présente.
La sensibilisation, la culture et la prévention sont les trois piliers sur lesquels l’AECI souhaite créer un écosystème de programmes de sécurité numérique, en coordination avec les établissements d’enseignement et les organisations publiques et privées.
Association équatorienne pour la cybersécurité – Asociación Ecuatoriana de Ciberseguridad (AECI)
Alors que la fréquence et la gravité des cybermenaces mondiales augmentent, les organisations investissent dans de nouvelles techniques innovantes pour se protéger. Cependant, toutes les mesures développées ne sont pas purement défensives : on parle de plus en plus de techniques de « défense active » plus intrusives – l’exemple le plus important étant le hack-back.
Les signataires du Tech Accord ont fermement soutenu la décision d’inclure le Principe 8 dans l’Appel de Paris, qui envisage des mesures pour empêcher les acteurs non étatiques de mener des actions cyber offensives en réponse à une attaque. Toutefois, il s’agit là d’un domaine ambigu, et les signataires souhaitent approfondir la question pour établir des limites claires en matière d’intention, d’autorité et d’intrusion afin que les gouvernements et les acteurs privés puissent mettre en oeuvre ce principe.
Il est particulièrement important de s’assurer que l’interdiction ne s’applique pas aux techniques positives de cybersécurité, comme les tests d’intrusion. À cette fin, les signataires de l’Accord Tech s’engagent à travailler ensemble pour soutenir la mise en œuvre effective du principe de l’Appel de Paris sur le hack-back, notamment en mettant en évidence les définitions potentielles et les meilleures pratiques.
Les discussions débuteront lors d’une réunion au Forum sur la gouvernance de l’Internet à Berlin, où les signataires de l’Accord espèrent recueillir les points de vue de l’industrie mais aussi de la société civile sur ce sujet crucial. Les organisations qui souhaitent prendre part à cet effort peuvent envoyer un courriel à info@cybertechaccord.org.
L’Organisation pour la sécurité et la coopération en Europe (OSCE) lutte contre divers types de cybermenaces, notamment la cybercriminalité et l’utilisation de l’internet à des fins terroristes. L’élaboration de mesures de développement de la confiance entre les États participants est un élément essentiel pour réduire les risques de conflit. Seize mesures de développement de la confiance ont ainsi été adoptées. Elles ont pour objectif de renforcer la coopération entre États, la transparence et la prévisibilité, afin de réduire les risques d’erreur d’interprétation et d’escalade.
L’une de ces mesures oblige les États participants à nommer un point de contact pour faciliter les communications et le dialogue sur les incidents liés aux TIC, ainsi que pour coordonner les réactions. La France est l’un des pays responsables de la mise en œuvre de cette mesure, notamment grâce à des contrôles et des exercices de communication. Les échanges d’informations et la communication entre États peuvent empêcher un conflit non souhaité, en apaisant les possibles tensions et en interrompant ou en freinant l’engrenage de l’escalade.
Les organisations régionales comme l’OSCE sont des enceintes privilégiées pour renforcer la confiance dans le cyberespace, parce qu’elles ont souvent été conçues pour la prévention des conflits et disposent d’une expérience concrète des mesures de développement de la confiance. Jusqu’à présent, le secrétariat de l’OSCE a lancé avec succès des exercices de « comcheck », ce qui souligne l’utilité de telles mesures pour renforcer la stabilité dans le cyberespace par un dialogue permanent entre les États.
OSCE – Cybersécurité/sécurité des TIC
Les systèmes nucléaires, qu’ils soient civils ou militaires, comprennent des composants numériques. Le risque de leur compromission est dès lors présent. Une cyberattaque réussie contre des armes nucléaires ou des systèmes connexes pourrait avoir des conséquences catastrophiques. Parmi les scénarios étudiés par la Nuclear Threat Initiative, ceux selon lesquels une cyberattaque conduirait à un lancement nucléaire à la suite de fausses alertes ou d’erreurs de calcul, accroître le risque d’utilisation non autorisée d’une arme nucléaire et miner la confiance dans la dissuasion nucléaire, ce qui compromettrait la stabilité stratégique.
L’ONG Nuclear Threat Initiative chercher à élaborer des lignes directrices pour la cybersécurité dans les installations nucléaires, en réunissant la communauté technique mondiale du cybernucléaire au sein du Cyber Nuclear Forum, afin de faciliter l’échange d’informations et favoriser un réseau relationnel sur lequel les exploitants nucléaires peuvent s’appuyer pour obtenir conseils et assistance.
Elle soutient également des études visant à formuler des recommandations sur les pratiques de cybersécurité dans les installations nucléaires. Par exemple à travers un comparatif des approches et règlementations nationales pour protéger les installations nucléaires contre les cyberattaques dans cinq pays dotés d’armes nucléaires. Mais aussi avec une approche prospective de la protection des installations nucléaires contre les cyberattaques susceptibles de conduire au vol de matières nucléaires utilisables à des fins militaires ou à un acte de sabotage radiologique.