L’Allemagne va se doter d’une agence de cybersécurité

L’Allemagne se rapproche encore davantage de sa propre version d’une agence de projets de recherche avancée dans le domaine de la défense : les responsables concernés tentent ici de renforcer la posture du pays en matière de cybersécurité. Comme la France.
 

 
Le cabinet de la chancelière Angela Merkel a approuvé la semaine dernière la nouvelle organisation, dirigée conjointement par les ministères de la Défense et de l’Intérieur. Le groupe devrait recevoir un budget de 200 millions d’euros entre 2019 et 2022. La nouvelle « Agence pour l’innovation en matière de cybersécurité » comptera à terme cent employés. Le parlement allemand (Bundestag) débattra de la proposition dans les mois à venir. Une fois le financement dégagé, les analystes commenceront leurs travaux l’année prochaine.
 
Alors que la DARPA* du Pentagone a servi de modèle dans la création de la nouvelle organisation, l’engagement de l’agence américaine en matière de financement et de personnel surpasse celui du nouvel effort allemand. Mais cette décision constitue toujours un grand pas en avant car elle montre un engagement politique en faveur du cyberespace dans le contexte de la défense et de la sécurité qui, selon les responsables, était auparavant inexistant.
 
L’un des objectifs explicites est notamment d’accélérer le cycle d’acquisition des technologies de cybersécurité. Cela place l’Allemagne dans le même bateau que de nombreux gouvernements à travers le monde où les responsables se sont toujours retrouvés à la traîne derrière des systèmes d’attaque sophistiqués employés par les pirates. « Les processus gouvernementaux existants en matière de recherche sont trop lents », a déclaré la ministre de la Défense, Ursula von der Leyen. « Nous devons être au moins aussi rapides et aussi bien équipés que les pirates ».
 
L’idée est que la nouvelle agence injecte du capital de risque dans des idées de recherche prometteuses dans l’espoir de nourrir les projets qui donneront un coup de pouce aux forces armées et aux forces de sécurité. Selon von der Leyen, cette approche nécessiterait du courage et la volonté du public d’absorber les pertes financières dans les cas où les idées ne porteraient pas leurs fruits.
 
Les critiques craignent que la nouvelle agence ne se concentre trop sur les cyber-opérations offensives à un moment où la posture générale de défense du pays doit être corrigée.
 
A sa manière, l’Allemagne suit les traces de la France dont la Loi de Programmation Militaire 2019-2025 traite de manière prioritaire les divers aspects que doivent englober les démarches visant à assurer la cybersécurité.
 
Selon son article 19, les opérateurs télécoms disposeront de nouveaux moyens pour détecter les virus qui transitent par leurs réseaux. Elle prévoit notamment des moyens de contrer les attaques d’envergure de type rançongiciels (Ransomware) comme WannaCry, Petya ou NotPetya, déployés contre les réseaux de communication français. Lesquels ne sont, aujourd’hui, pas suffisamment surveillés, car les opérateurs télécoms n’ont pas le droit d’analyser le contenu du trafic qui passe dans leurs tuyaux – sauf dérogation exceptionnelle. Une gigantesque faille dans la cybersécurité française.
 
Comme l’a expliqué Erick Haehnsen sur InfoProtection, c’est justement ce que cherche à combler l’article 19 de la LPM en espérant que, sur la base du volontariat, les opérateurs français (Orange, SFR, Bouygues, Free…) jouent le jeu du ministère des Armées. Il s’agirait alors d’installer des systèmes capables de détecter en temps réel les virus susceptibles d’altérer la sécurité des systèmes d’information de leurs abonnés. La LPM leur donne le droit de rechercher les virus dans leurs réseaux. Les opérateurs ont aussi l’opportunité d’accroître la qualité de leur service. En échange, l’Agence nationale de sécurité des systèmes d’information (ANSSI) fournira aux opérateurs la signature de certains virus afin de les aider à mieux les détecter et les neutraliser.
 
Le cas échéant, les opérateurs seront tenus de prévenir sans délai leurs abonnés du danger et de son impact sur leurs systèmes d’information. Pas question pour autant que cette vigilance de la part des opérateurs ne soit l’occasion de légitimer l’espionnage des Français, prévient le ministère des Armées. À cet égard, l’article 19 du projet de loi stipule que « les données recueillies autres que celles directement utiles à la prévention des menaces [doivent être] immédiatement détruites ».
 
En cas d’attaque imminente contre des autorités publiques ou des opérateurs d’importance vitale (OIV), l’ANSSI est habilitée à installer des systèmes de détection des menaces directement chez les opérateurs ou hébergeurs. Les agents de l’ANSSI peuvent donc recueillir et analyser les données pertinentes afin de caractériser la future attaque. Une nouveauté puisque, jusqu’ici, l’agence n’avait pas le droit de prendre le contrôle d’un hébergeur pour savoir qui se cachait derrière l’attaque. Quant aux données en question, elles pourront être conservées cinq ans au maximum. Pour sa part, l’Autorité de régulation des communications électroniques et des postes (Arcep) est chargée de veiller au respect par l’ANSSI de la nouvelle réglementation.
 
Le modèle français devrait faire école dans l’Union européenne. Du moins le mériterait-il.
* Defense Advanced Research Projects Agency