Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    4 013
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 4 013
    Points : 103 323
    Points
    103 323

    Par défaut France : la Revue Stratégique de Cyberdéfense propose que les entreprises publient le code source

    France : la Revue Stratégique de Cyberdéfense propose que les entreprises publient le code source,
    de certains produits après la date de support

    Dans la foulée de la présentation de la Loi de Programmation Militaire 2018 (LPM 2018) au Conseil des ministres, Louis Gautier, secrétaire général de la défense et de la sécurité nationale, avait présenté à la presse la Revue Stratégique de Cyberdéfense le 8 février 2018. Ce document, une synthèse de 166 pages de la doctrine de la Défense nationale en matière de cybersécurité, réalisée en grande partie par le SGDSN (Secrétariat Général de la défense et de la sécurité nationale) et l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), a été considéré comme le premier grand exercice de synthèse stratégique dans ce domaine.

    Organisé en trois parties, il dresse un panorama de la cybermenace, formule des propositions d’amélioration de la cyberdéfense de la Nation et ouvre des perspectives visant à améliorer la cybersécurité de la société française. Il vient donc énumérer les nombreuses actions que la France a déjà menées, ainsi que celles à venir.

    Ses auteurs espèrent qu’il va marquer le début d’une stratégie de cyberdéfense fondée sur le durcissement de la protection des systèmes informatiques de l’État et des organismes d’importance vitale ainsi que le renforcement de la sécurité numérique pour les citoyens, les institutions et l’ensemble des acteurs qui participent du dynamisme économique, industriel, social et culturel de la France.

    Il est important de souligner que c'est un document de stratégie, ce qui implique qu’il ne contient que des propositions et non des lois.

    En plus de discuter des aspects techniques, organisationnels et stratégiques, il fournit également un agenda spécifique.

    Les trois grands axes du document sont :
    • les dangers du monde cyber ;
    • l’État, responsable de la cyberdéfense de la nation ;
    • l’État garant de la cybersécurité de la société.

    Le document dresse le paysage des menaces informatiques qui visent la France. Dans les grandes lignes sont évoqués l’espionnage, la cybercriminalité, la déstabilisation et le sabotage informatique.


    Le document a également dressé les missions de la cyberdéfense française en six catégories, notamment :
    • la prévention ;
    • l’anticipation ;
    • la protection ;
    • la détection ;
    • l’attribution ;
    • la réaction (remédiation, répression des infractions et action militaire).

    Les entreprises privées ne sont pas encouragées au « hack back »

    Le document a rappelé l’existence de techniques de défenses actives comme les techniques dites de pot de miel (qui visent à attirer les attaquants sur des cibles factices pour qu’ils dévoilent leurs outils afin de les repérer plus facilement). Il rappelle également que des actions judiciaires peuvent être utilisées et rappelle notamment la collaboration entre Microsoft et le FBI pour venir à bout de botnets.

    Cependant, sur la grande question du hack back (qui vise à attaquer à son tour l’entité qui a attaqué nos systèmes en premier) qui fait l’objet d’une étude de projet de loi aux États-Unis, le document se montre réticent : « cette pratique est en contradiction avec le droit national et international », rappellent les auteurs. Et de préciser que « ce mode d’action, qui semble avoir déjà été mis en œuvre dans quelques cas, mène à une escalade inévitable, des dégâts collatéraux étant plus que probables et l’attaquant pouvant lui-même vouloir répliquer de nouveau. »

    L'annexe 7 envisage des mesures de rétorsion suite à une cyberattaque. Bien que le texte souligne que de telles actions doivent être envisagées à condition que toutes les autres approches (prévention, coopération, négociation) échouent, il reconnaît qu'une réponse peut être apportée en utilisant des moyens cyber ou non cyber. La stratégie souligne également qu'une cyberattaque majeure peut être interprétée comme une agression armée, conformément à l'Article 51 de la Charte des Nations Unies.

    Cyberdissuasion

    L’application du concept de cyberdissuasion a été évoquée, les auteurs rappellent que la France réserve le terme dissuasion au domaine nucléaire militaire. En effet, les auteurs voient dans ce concept trois limitations :
    • tout d’abord, tout acte de dissuasion est fondé sur une rhétorique claire et crédible. Or, en matière de cyber, dévoiler publiquement ses capacités revient à compromettre leur efficacité dans la mesure où cela peut conduire l’adversaire à s’en prémunir. Cela va donc s’avérer rapidement inefficace ;
    • ensuite, les armes cyber n’exercent pas le même effet dissuasif que les armes nucléaires, ces dernières ayant la capacité d’infliger des dommages hors de proportion avec l’agression. L’équation est donc fortement différente ;
    • enfin, la dissuasion nucléaire repose sur un dialogue dissuasif entre États dotés. La situation est différente avec les armes cyber dans la mesure où celles-ci peuvent être produites et surtout utilisées assez facilement par un grand nombre d’acteurs, étatiques ou non.

    Cyberresponsabilité

    La France suggère de mettre la responsabilité de la sécurité entre les mains des fournisseurs de produits. En d'autres termes, rendre les entreprises responsables de la sécurité des produits qu'elles mettent sur le marché – tant que les produits sont disponibles dans le commerce. La stratégie mentionne ensuite que l'une des solutions pourrait être de publier du code source et de la documentation après une date de fin de support. La stratégie elle-même mentionne la prise de cette discussion au niveau international.

    Source : SGDSN

    Et vous ?

    Que pensez-vous de ces recommandations ?
    Quelles sont celles qui vous intéressent le plus ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre confirmé
    Homme Profil pro
    Evethings
    Inscrit en
    décembre 2013
    Messages
    193
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Italie

    Informations professionnelles :
    Activité : Evethings

    Informations forums :
    Inscription : décembre 2013
    Messages : 193
    Points : 576
    Points
    576

    Par défaut

    Je suis impressionné de voir que les banques se sont fait voler 1 milliard de dollars en 2013/2014 sans que cela n'émeuvent nos médias. ça pose tout de même la question de la sécurité de nos comptes bancaires
    Ceux qui abandonnent une liberté essentielle pour une sécurité minime et temporaire ne méritent ni la liberté ni la sécurité.
    Benjamin Franklin

  3. #3
    MikeRowSoft
    Invité(e)

    Par défaut

    Vraisemblablement, seules les entreprises sont médiatisable comme des "ayant ou étant ou pouvant être du pris pour cibles...".
    ARCEP et CNIL sont de tous autres métiers...
    HADOPI... surement un de leurs collègues...

  4. #4
    Membre éprouvé
    Profil pro
    Inscrit en
    mai 2011
    Messages
    429
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2011
    Messages : 429
    Points : 911
    Points
    911

    Par défaut

    Citation Envoyé par Jiji66 Voir le message
    Je suis impressionné de voir que les banques se sont fait voler 1 milliard de dollars en 2013/2014 sans que cela n'émeuvent nos médias. ça pose tout de même la question de la sécurité de nos comptes bancaires
    Ah bon t'es sure qu'elle rend pas juste l'argent qu'elle a volé ...

  5. #5
    Expert éminent sénior

    Avatar de Neckara
    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    décembre 2011
    Messages
    7 185
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 25
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 7 185
    Points : 18 850
    Points
    18 850

    Par défaut

    Citation Envoyé par Jiji66 Voir le message
    Je suis impressionné de voir que les banques se sont fait voler 1 milliard de dollars en 2013/2014 sans que cela n'émeuvent nos médias. ça pose tout de même la question de la sécurité de nos comptes bancaires
    En terme de volume échangé annuellement, le montant de la fraude est dérisoire. Sachant aussi que certaines protection coûtant plus cher que ce qui est protégées, les banques préfèrent parfois payer la fraude que de payer la protection.

    Sans oublier, qu'en fonction du pays la protection n'est pas la même, et que même à l'échelle du système monétique, tous les composants n'ont pas le même niveau de protection.


    Vos comptes bancaires ne risquent rien. La fraude se concentre plus sur les parties "front-end" (e.g. DAB ou TPE) où l'argent n'est pas prélevé sur un compte existant, ou sur la gestion des autorisations de paiement, i.e. cartes volées, rejets, etc. où les banques payent la fraude.
    "Parce que le diable est dans les détails, une vision sans nuance ne peut prétendre à la compréhension du monde."

    Mon ancienne page perso : https://neckara.developpez.com/

  6. #6
    Membre éclairé Avatar de Matthieu76
    Homme Profil pro
    Consultant informatique
    Inscrit en
    mars 2013
    Messages
    512
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mars 2013
    Messages : 512
    Points : 741
    Points
    741

    Par défaut

    Citation Envoyé par MikeRowSoft Voir le message
    Vraisemblablement, seules les entreprises sont médiatisable comme des "ayant ou étant ou pouvant être du pris pour cibles...".
    ARCEP et CNIL sont de tous autres métiers...
    HADOPI... surement un de leurs collègues...
    Sans vouloir être méchant, je ne comprends rien à ce que tu racontes... Exprime-toi mieux.

Discussions similaires

  1. Réponses: 12
    Dernier message: 07/06/2017, 20h02
  2. Réponses: 29
    Dernier message: 12/01/2017, 22h18
  3. Réponses: 0
    Dernier message: 09/11/2010, 12h01
  4. Réponses: 86
    Dernier message: 29/05/2009, 00h12
  5. que pensez vous de mon code source ecrit en c++(je debute)
    Par superspike23 dans le forum Débuter
    Réponses: 6
    Dernier message: 06/10/2005, 19h26

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo