aman défis strategiques confiance numérique 28 juin 2011

12
20/07/2016 1 Défis stratégiques de la confiance numérique au Maroc Anas ABOU EL KALAM Association Marocaine de confiAnce Numérique (AMAN) 28 juin 2011 Digital Trust Meeting 2 Anas Abou El Kalam Agenda Confiance numérique La stratégie du Maroc Les défis Conclusions 3 Anas Abou El Kalam Agenda Confiance numérique : pourquoi ? La stratégie du Maroc Les défis Conclusions 4 Anas Abou El Kalam Le numérique : Pourquoi ? L’usage des TI est un facteur essentiel pour l’émergence de ==> la société du savoir ==> développement humain, amélioration de la cohésion sociale ==> croissance de l’économie nationale L’accès à l’info et son usage conditionnent le progrès et le développement Secteur des TI : 7% du PIB mondial Drainent près de 25% de la croissance mondiale Plus de 60% des emplois dans le monde industrialisé.

Upload: abdeljalil-agnaou

Post on 19-Jan-2017

73 views

Category:

Engineering


0 download

TRANSCRIPT

Page 1: AMAN défis strategiques confiance numérique 28 Juin 2011

20/07/2016

1

Défis stratégiques de la confiance numérique

au Maroc

AnasABOUELKALAM

Association Marocaine deconfiAnce Numérique(AMAN)

28 juin 2011Digital Trust Meeting2Anas Abou El Kalam

Agenda

• Confiance numérique

• La stratégie du Maroc 

• Les défis

• Conclusions

3Anas Abou El Kalam

Agenda

• Confiance numérique : pourquoi ?

• La stratégie du Maroc 

• Les défis

• Conclusions

4Anas Abou El Kalam

Le numérique : Pourquoi ?L’usage des TI est un facteur essentiel pour l’émergence de

==> la société du savoir

==> développement humain, amélioration de la cohésion sociale

==> croissance de l’économie nationale

L’accès à l’info et son usage conditionnent le progrès et le développement

– Secteur des TI : 7% du PIB mondial

– Drainent près de 25% de la croissance mondiale

– Plus de 60% des emplois dans le monde industrialisé.

Page 2: AMAN défis strategiques confiance numérique 28 Juin 2011

20/07/2016

2

5Anas Abou El Kalam

Maroc Numérique 2013 : ambitions

Source : MICNT 6Anas Abou El Kalam

Agenda

• Confiance numérique : pourquoi ?

• La stratégie du Maroc 

• Les défis

• Projets de recherche

• Conclusions

7Anas Abou El Kalam

Maroc Numérique 2013 : confiance

8Anas Abou El Kalam

RH spécialisées dans les NTIC (30 000 profils ??). « Confiance numérique »

cadre législatif,structures pour la sécurité informatique sensibilisation des acteurs sur les problématiques de sécurité

Maroc Numérique : mesures

Diverses entités : Conseil national des technologies de l’information et de l’economie numérique (présidée par le Premier ministre),ma-CERT (Centre de coordination et de réponse aux incidents ), Prestataire de service de certificats électroniques, Commission nationale des protection des données personnelles…

Page 3: AMAN défis strategiques confiance numérique 28 Juin 2011

20/07/2016

3

9Anas Abou El Kalam

Propriété Intellectuelle

Loi 34-05 : droits d'auteur et droits voisins.

Transactions électroniques

Loi 53-05 relative à l’échange électronique de données juridiques.

Crimes Informatiques

Loi 07-03 : répression infractions relatives au TAD

Protection des données personnelles

Loi 09-08 : protection des données personnelles.

Commerce électronique

Loi 01-08 : protection du consommateur (vente électronique, publicité

en ligne, publicité indésirable, courrier électronique, ....)

Maroc Numérique 2013 : cadre législatif

10Anas Abou El Kalam

Les cyber-attaques coûte plus de mille milliards de $ chaque année,

Plus de 650 000 SI sont aujourd'hui infectés

Assurer la sécurité informatique au sein des organismes publics en vue

de renforcer la confiance numérique

Détection précoce et prévention contre les menaces

Traitement opérationnel des incidents informatiques

Mise en oeuvre d’un système de détection des attaques

Centralisation des demandes & Coordination de la réaction

Assistance aux organismes publics

Sensibilisation & Diffusion d'infos sur les précautions à prendre

Réalisation des audits et des évaluations.

...

Maroc Numérique 2013 : ma-CERT

11Anas Abou El Kalam

Cadre législatifMise en place de structures organisationnelles

Ma-CERTComité de sécuritéComission nationale de protection des données personnelles...

Tiers de confiance ; prestataire de service de certificationProcessus d'agrément de Barid Al Maghrib

Sensibilisation & formation

… Le Maroc a été classé par le rapport du forum économique international comme troisième pays arabe qui utilise les TIC.

Maroc Numérique 2013 : bilan +

12Anas Abou El Kalam

Agenda

• Confiance numérique : pourquoi ?

• La stratégie du Maroc 

• Les défis

• Projets de recherche

• Conclusions

Page 4: AMAN défis strategiques confiance numérique 28 Juin 2011

20/07/2016

4

13Anas Abou El Kalam

Défis : stats ...

Sur 132 pays, le Maroc est classé

96 place en ce qui concerne l’innovation,

75 rang pour l’utilisation des TIC par les entreprises et

89 rang en ce qui concerne les lois relatives aux TIC

Facebook note que le Maroc est le 3e pays avec les membres les plus jeunes

pour un nombre d’utilisateurs de près de 2 millions…

14Anas Abou El Kalam

Défis : transforamtion sociale urgente ...

Chaque axe de la stratégie porte les chances de son succès et les risques de son

échec

Sur le volet transformation sociale, le Maroc part de très loin...

Les disparités (informatisation & accès internet) entre milieu rural et milieu

urbain sont très profondes (jusqu’à 52 points d’écart).

Catégorie A (revenu > 18 000 Dh) :200 000 foyers sont connectés à 80%

Catégorie B(8 000 < revenu 18 000) : 400 000 foyers cnnectés à 15%

Catégorie C ( 3000 < revenu < 8000) : million à 15%

D et E (revenu < 3000 Dh) : 4,4 millions connectés à 2%.

==> L’utilisation des NTIC étant fortement reliée au taux d’alphabétisation du pays

… la sécurité aussi

15Anas Abou El Kalam

Défis : Education ...

la lutte contre la cybercriminalité doit commencer de l’école

comme on apprend aux enfants que le vole est un crime on doit aussi leur

apprendre que le plagiat, la fraude informatique sont aussi des crimes ...

==> révision des programmes scolaires est l’harmonisation de ces programmes

avec les besoins de l’évolution technologique

==> les jeunes doivent être la première population cible ...

Instaurer culture technologique voir même une culture de la sécurité sur le

terrain, auprès des différents acteurs sociaux et notamment de leurs aînés.

créer des passerelles entre tous les organismes intervenus dans la lutte contre la

cybercriminalité et les autres acteurs dans ce domaine à savoir les universités, les

entreprises et la société civile ...

16Anas Abou El Kalam

Défis : méthodologie d'enseignement ...

Nécessité d'une refonte de la méthodologie d’enseignement et d’apprentissage,

fondée sur une appropriation du multimédia et des NTIC dans la définition,

l’élaboration et la diffusion du savoir

L’école d’aujourd’hui est encore trop proche de celle pratiquée au XIXème siècle,

avec un professeur transmettant un savoir de manière unidirectionnelle devant des

élèves passifs.

Cela ne peut plus répondre aux aspirations de nos jeunes qui, en sortant de

l’école chaque soir, se retrouvent connectés à une réalité numérique à mille

lieux de ce qu’ils ont vécu dans la journée ».

Page 5: AMAN défis strategiques confiance numérique 28 Juin 2011

20/07/2016

5

17Anas Abou El Kalam

Défis : questions ouvertes

Comment cybercriminalité affectera l’émergence de l’économie du savoir ?

Comment peut-elle freiner le rôle des TIC dans l’économie du savoir ?

Comment un pays en développement comme le Maroc ayant des accords de libre

échange avec les puissances technologiques peut-il faire face à la cybercriminalité et

à son impact sur l’économie nationale ?

Cadre légal marocain permet- il de lutter convenablement contre ce fléau ?

La réponse à ces questions sera d’après deux points essentiels :

L’insuffisance du cadre légal marocain pour lutter contre la cybercriminalité

les réformes nécessaires pour la lutte contre la cybercriminalité.

18Anas Abou El Kalam

Défis : insuffisance cadre légal

La cybercriminalité évolue vite “par le même rythme de l’évolution des TIC”, par

contre le cadre juridique marocain est lent (discussion, vote, application).

Décalage à deux niveaux.

entre l’évolution rapide des TIC et de la cybercriminalité & l’évolution ou la

mise en œuvre du cadre juridique qui vise la lutte contre la cybercriminalité.

décalage entre promulgation d’une loi & sa mise en application voir même la

sa bonne application en considérant « la culture technologique » des juges.

droit pénal : difficulté de justifier certaines crimes, l’intention criminelle,

identifier les auteurs et de poursuivre les infractions commises par Internet.

Absence de loi cadre pour la cybercriminalité qui considère spécificité de ces

crimes et des outils techniques permettant de prouver l’existence ou non du délit.

19Anas Abou El Kalam

Défis : insuffisance cadre légal

Insuffisance de règles juridiques concernant le commerce électronique

Ambiguité de la loi 53-05 relative à l’échange électronique (titre II :

signature, cryptographie et certification) dont le champ d’application est

indéterminé.

Loi n°34-05 a parlé des droits d’auteurs et des éditions d’une manière générale,

alors que les éditions électroniques, le contenu des sites Web et les éditeurs de pages

Web ont des spécificités qui exigent des règles juridiques spécifiques

Loi n°09-08 relative à la protection des personnes physiques à l’égard du

traitement des données à caractère personnel n’est pas encore mise en œuvre.

20Anas Abou El Kalam

Défis : insuffisance cadre légal

Absence de jurisprudence concernant la cybercriminalité alors qu’elle joue un

rôle important dans l’enrichissement et l’évolution des lois.

Ainsi on se pose la question sur la compétence des juges en droit de

l’informatique et de l’internet.

Définitions communes entre technicien, magistrats, …

Interprétations des impacts juridiques que peuvent avoir les infractions

informatiques compte tenu de leur complexité.

==> on doit créer plus de passerelles entre l'univers informatique et celui des

juristes, avocats, majistrats, policiers, ...

Page 6: AMAN défis strategiques confiance numérique 28 Juin 2011

20/07/2016

6

21Anas Abou El Kalam

Défis : institutions ?

Comité de Sécurité des Systèmes d'Informations (CSSI)

Par def un comité ne propose que des actions ponctuelles, or pour pouvoir

piloter la confiance numérique,

==> il faut un travail structurel.

D'autres pays ont mis des agences nationales de la sécurité (ANSSI)

Ma-CERT

Ne dispose pas de palteforme de signalement qui permet aux internautes de

siganler des sites illicites (pédopornographiques, incitation à la haine,

raciales, terrorismes, spams, ...)

22Anas Abou El Kalam

Défis : coopération des acteurs

Mise en place d’une loi cadre qui pénalise la cybercriminalité et les décrets

d’application au lieu de ++ articles distribués dans différents textes juridiques.

Prévoir la formation de TOUS ceux et celles qui interviennent de près ou de loin

dans l’application de cette législation, notamment, les avocats et les journalistes

Le droit des TIC doit être considéré comme matière enseignée dans toutes les

disciplines comme est le cas de la législation du travail.

Le développement du numérique doit combiner

mobilisation gouvernementale,

initiatives privées & associatives ==> sensibilisation acteurs de la société

partenariats internationaux

Innovation

R&D, Poles de compétitivité // excellence en sécurité

23Anas Abou El Kalam

Défis : service publique ...

L'e-gouv a pour but de « rapprocher l’administration des besoins de l’usager en termes d’efficacité, de qualité et de transparence ». … mais …

Plus de 40% de l’enveloppe globale de Maroc Numeric 2013 sont dédiés à l’e-gouvernement (2,2 milliards de dirhams).

Budget USA en sécurité info : 600 milliards de dollardsBudget annuel NSA : 16 milliars de dollars

NU : Maroc se positionne au 140 / 192 en matière d’e-gouvernement, en terme d’infrastructures et d’offres de service.

Rapport du ministère relatif à la modernisation du secteur publicun poste pour trois utilisateurs dans la fonction publique. 60% de ces postes sont connectés à Internet. Seuls 20% des fonctionnaires disposent d’une adresse e-mail.

==> Une stratégie visant à l'ensemble des usagers de l'Administration se doit de prendre en compte les réalités du pays ==> technologique & éducatif

24Anas Abou El Kalam

Défis : service publique ...

Moins de la moitié des entités du secteur public disposent d’un schéma directeur

deSI ou d’un plan informatique.

Moins de 5% des sites web offrent des télé-services transactionnels

Un seul site gouvernemental est classé dans les 100 principaux sites marocains.

En matière d’e-gouvernement, il y a les bons et les mauvais élèves.

disparité, hétérogénéité et manque de coordination entre entités publiques.

Ecarts de performance entre administrations dans les e-services qu'elles

proposent

Page 7: AMAN défis strategiques confiance numérique 28 Juin 2011

20/07/2016

7

25Anas Abou El Kalam

E-gouv

2009, Maroc se classait à la 140ème /192 avec un indice de 0,2

L’objectif affiché du Plan Numeric 2013 est d’atteindre un indice de 0,8 en 2013.

Ilest prévu de passer de 16 projets et services d’E-gouvernement en 2008 à 89

projets en 2013.

26Anas Abou El Kalam

Défis : e-gouv ...

Externalisation mais privacy

Permet à l'administratio de se concentrer sur ses métiers de base

Construire une architecture efficace et mutualisée

Continuité de l'offre et son adaptation aux attents, attaques, ...

Interropérabilité des sites

Nouvelles technos (XML, CMS, ...) MAIS plus de sécu …

Prendre des engagements de qualité

Référentiel de bonnes pratiques, charte qualité / sécurité, ...

Observer et mieux comprendre les usagers / attaquant

...

27Anas Abou El Kalam

Défis : mise à niveau PME/PMI ...

Les PME/PMI représentent 95% des entreprises nationales. Bon nombre n’ont pas

encore changé leur façon de travailler Pour investir dans les NTIC, les entreprises

doivent avior atteint une certaine maturité, une volontée de faire (transparence) …

28Anas Abou El Kalam

Défis : sécurité des IC

organisations, installations, équipements, biens logiques et physiques, qui a uneimportance vitale ou critique pour le fonctionnement d’une économie, ou de la société humaine et dont la défaillance, l’arrêt de fonctionnement ou la dégradation peuvent avoir un impact potentiellement dramatique sur le bien-être économique et social d’une nation.

Page 8: AMAN défis strategiques confiance numérique 28 Juin 2011

20/07/2016

8

29Anas Abou El Kalam

Défis : de la confiance vers la confiance justifiée

• Selon les points de vue (ou domaines d'application), on s’intéresse à la capacité du système à :

– Être prêt à délivrer le service disponibilité (availability)

– Assurer la continuité du service fiabilité (reliability)

– Pouvoir être réparé et évoluer maintenabilité(maintainability)

– Ne pas provoquer de catastrophe sécurité-innocuité(safety)

– Éviter les divulgations illicites confidentialité(confidentiality)

– Éviter les altérations intégrité (integrity) 30Anas Abou El Kalam

Défis : de la confiance vers la confiance justifiée

• Moyens de la SdF méthodes, outils et solutions pour

y Fournir au système l'aptitude à délivrer un service conforme à l’accomplissement de sa fonction

• Prévention• Tolérance aux intrusions

y valider le système, pour donner confiance dans cette aptitude

• Elimination (vérification, …)• Prévision (Evaluation, ...)

31Anas Abou El Kalam

Agenda

• Researchareas

• Recentprojects

– MP6– MAFTIA– PRIME– CRUTIAL– ADCN+– Newcom++– Leurecom

• Researchchalenges

32Anas Abou El Kalam

MAFTIAMalicious-and Accidental-Fault Tolerance

for Internet Applications

Three main areas of workArchitecture: framework ensuring the dependability of distributed applications Design of mechanisms and protocols

Dependable middlewareLarge scale IDSDependable trusted third partiesDistributed authorisation mechanisms (N. Abgour, Y. Deswarte, ...)

Verification and assessment

Security ==> DependabilityFault tolerance / intrusion tolerenceNew autorization schema ...

Page 9: AMAN défis strategiques confiance numérique 28 Juin 2011

20/07/2016

9

33Anas Abou El Kalam

MP6 : Security Policies & Models for healthcare systems

• Partners

WP2State of the art

WP3Policies… WP4

Models…

WP7 expl-CDetection

WP6 expl-BAnonymisation

WP5 expl-AAuthorization

WP8Integrations

WP1Administration

WP9Promotions

• Organisation

Separation policy & implementationDynamic access control Organizational access controlConflict resolution 34Anas Abou El Kalam

PRIMEPrivacy and Identity Management for Europe

Develop a working prototype of a privacy-enhancing Identity Management System

To foster market adoption, novel solutions for managing identities are demonstrated in challenging real-world scenarios:

Internet Communication, Airline and Airport Passenger ProcessesLocation-Based Services Collaborative e-Learning

Anonymity, Pseudonimity, Linkability, Observability, ...

35Anas Abou El Kalam

CRUTIAL

Critical Infrastructure– logical/physical facilities of essential importance for public welfare,

– their failure / disruption could potentially a dramatic impact on economic and socialwelfare of a nation, a society, or an economy

Examples– Electric power grid: Electricity generation, transport and distribution

– telecommunications,

– supply services (energy, food, fuel, water, gas),

– transportations systems (roads, railways, airports),

– financial services (banks, stock exchange, insurances), ...

Cybersecurity?– 2009 : cyber attack caused a generator to self-destruct

• "I can't say the vulnerability has been eliminated. But I can say a lot of risk has been taken off the table," R. Jamison, undersecretary of DHS's National Protection Directorate

– 2003: North America blackout ==> $6 billion of losses

Critical utility infrastructural resilience

36Anas Abou El Kalam 36

Internet Centre de Contrôle

Centre de Contrôle

Intra-organizational access control

Inter-organizational access control

E-contracts

Real-time Verification

Page 10: AMAN défis strategiques confiance numérique 28 Juin 2011

20/07/2016

10

37Anas Abou El Kalam

ADCN+

Objectives– Study the architecture of new aircraft generation

• Network modeling, architecture, performances, supervision

• Security & QoS

New project :Information Managment for Avionics Platforms

Advanced Aircraft Data Communication Network

38Anas Abou El Kalam

Feel@home

• Cooperation for a sustained European Leadership in Telecom

• Mass market adoption of advanced audiovisual networked services, at home and everywhere

• management of the digital entertainment, the automatic Home Area Network management and the handling of multi-user service offerings

39Anas Abou El Kalam

Leurecom

Honeypot– An Internet-attached server that acts as a decoy, luring in potential hackers

– study their activities and monitor how they are able to break into a system

Leurecom– Around 30 countries in the 5 continents

– Capture ==> Store ==> Enrich ==> Cluster ==> Analysis ==> Access

– Enables partners to see how differently they are attacked than others...

40Anas Abou El Kalam

Agenda

• Researchareas

• Recentprojects

• Researchchalenges

– protectionagainstterrorismandorganisedcrime– bordersecurity– CriticalInfrastructureProtection– restoringsecurityincaseofcrisis

Page 11: AMAN défis strategiques confiance numérique 28 Juin 2011

20/07/2016

11

41Anas Abou El Kalam

Challenge … For a country ...

• protectionagainstterrorism andorganisedcrime

• Border security

• CriticalInfrastructureProtection(CIP)

• Restoring securityincaseofcrisis

42Anas Abou El Kalam

Challenges

• Future of internet & internet of things challenges

– Scalability, dependability, resilience, realtime protocols, usability …

– Detection & Identification (False + / false -)

• Small boats in blue borders, abnormal crowd behaviour, dangerous

luggage in open areas, dangerous goods

– User & Society

• Trust, accountability, .... (privacy)

– Trustworthy service / network infrastructures

• privacy protecting interoperable services, adaptive frameworks

43Anas Abou El Kalam

Challenges

• Future of internet & cyber threats, cybercrime– Critical infrastructures:

• complexe ICT systems and services,

• +/- open,

• Collaboration & suspicion

– + and + threats, economics of security

• ==> Understanding the attacks strategies, .... (up to date)

• ==> Security tools / Data collection framework will have to evolve

over time as attacks become stealthier or change focus

• ==> security and resilience in software services / security tools

– Evaluating / testing security tools ...

• ==> interoperable standards, certification,

• ==> international cooperation,

• ==> legal and societal aspects, ... 44Anas Abou El Kalam

Conclusion …

2003 : la Nasa et diverses institutions publiques et privées américaines essuient des attaques informatiques coordonnées imputées à des hackers chinois et russes.

2007 : l’Estonie subit une attaque cybernétique qui paralyse tout le pays.

2008 : la Géorgie connaît le même sort.

Piratage compte N. Sarkozy et compte yahoo de Sarah Paline

2009 : Les données bancaires de 21 millions d'allemands à la vente

Perte de donnees : les prisons britanniques pointées du doigt

2010 : le virus Stuxnet est lancé contre le réacteur nucléaire de Bushehr en Iran.

2011 : « Anonymous », défenseur de Wikileaks, mènent l’opération « Payback », des attaques de dénis de services, contre diverses entreprises américaines.

...

Page 12: AMAN défis strategiques confiance numérique 28 Juin 2011

20/07/2016

12

45Anas Abou El Kalam

Evolution ...

Large consensus sur le fait que les attaques internet deviennent une sérieuse

menace ... et à tous les niveaux

Economie souterraine étallée géographiquement s'est développée

Génère des millions de dollards aux cybercriminels

Outils aidant aux fraudes facilement “achetables” sur internet

Exploits et kits d'attaques ont les prix les plus élevés

Informations personnelles vendues en ligne

Du simple individu malveillant aux groupes organisés, le but “tendance”

devient de plus en plus “gain d'argent” ... 46Anas Abou El Kalam

Evolution ...Durée de vie moyenne de 10 jours

L'un des réseaux de serveurs IRC observés possédait environ 28000 canaux

et 90000 utilisateurs

Comptes en lignes : 63 %

Informations de cartes de crédits : 31% des ventes

Les jeux sont les plus touchés avec une marge significative : 49 %

Le web est devenue le point de distribution des maliciels et attaques

Les vulnérabilités visant les sites sont les plus répandues, avec pas assez de

patchs disponibles “à temps”

Six des “top 10” des maliciels sont des trojans

Les vers restent à 22% ...

Le pourcentage des virus augmente de 10 à 15% cette période

47Anas Abou El Kalam

AMAN ...

association scientifique et technique, sans but lucratif, apolitique et autonome.

rassemblement de la communauté des personnes physiques et morales concernées

par les thématiques liées à la confiance numérique :

Promouvoir l’innovation et le développement dans le domaine de la Sécurité des

Réseaux et Systèmes d'Information (SI).

Multiplier les échanges entre les acteurs de la Sécurité des Réseaux et SI

notamment les industriels, administrations, et organismes de recherche.

Mener une réflexion sur la formation classique et la formation continue en Sécurité

des Réseaux et Systèmes au Maroc.

Diffuser l'information scientifique par tous les moyens jugés utiles (conférences,

journal périodique d'information sur les activités de l'association, revues scientifiques

et supports NTIC liés à la sécurité des réseaux et systèmes).48Anas Abou El Kalam

AMAN ...

* Organiser des activités socioculturelles pouvant impliquer d'autres associations, etorganismes nationaux et internationaux.

* Assurer les liens et les échanges avec la communauté scientifique internationale.

* Aider au montage de start-up et de projets recherche-industrie dans le domaine de lasécurité des réseaux et systèmes.