cybersécurité confiance numérique · « confiance numérique des utilisateurs et la protection...

CL

Cybersécurité confiance numérique&

2cybersécurité confiance numérique&

SOMMAIRE

PRÉFACE 3ÉDITORIAL 5

INTRODUCTION 7

CHIFFRES CLÉS, ENJEUX ET ACTEURS 9Chiffres clés de la cybersécurité 10Enjeux de la cybersécurité 14La filière industrielle nationale 18Programmes nationaux et européens 23

CADRES ET RÈGLEMENTATIONS 31La cybersécurité des OIV 33Les réglementations 35La qualification pour résister aux attaques 40Des certifications, un gage de qualité 40

FORCES ET CAPACITÉS DES ÉCOSYSTÈMES HEXATRUST ET SYSTEMATIC PARIS-REGION 42L’alliance HEXATRUST 43Le pôle SYSTEMATIC PARIS-REGION 57

RECOMMANDATIONS POUR LE DÉVELOPPEMENT DE LA FILIÈRE CYBERSECURITÉ 69Analyse de la filière cybersécurité nationale 70Recommandations pour le développement de la filière 76

CONCLUSION 80


3 cybersécurité confiance numérique&

PRÉFACE

Le « tout numérique » provoque, avec l’exposition des données qu’il engendre, un besoin croissant de confiance et de sécurité. Le ministère de l’intérieur, acteur prépondérant du dispositif de sécurisation des intérêts de la Nation, occupe une place à part entière dans la préservation de la confiance des citoyens dans le numérique.

La stratégie nationale de sécurité du numérique présentée par le Premier ministre le 16 octobre 2015 fixe parmi quelques grands axes la nécessaire « confiance numérique des utilisateurs et la protection de leurs données ».

Pour le ministère de l’intérieur cela revient, en premier lieu, à garantir aux usagers une identité numérique forte, en mettant en œuvre des services électroniques de confiance. Cela inclut aussi des enjeux normatifs.

Vient ensuite le renforcement de l’efficacité de la lutte contre la cybercriminalité. Cela passe par des policiers et de gendarmes spécialisés, plus de moyens techniques, des outils juridiques mieux adaptés à cette délinquance en perpétuelle évolution et située le plus souvent dans une dimension internationale. Cela passe enfin par un soutien et une meilleure implication des industries de cybersécurité. L’Etat a besoin de la recherche et de la filière industrielle pour rester dans la course et gagner les combats présents et à venir.

Thierry DelvilleDélégué ministériel aux industries de la sécuritéMinistère de l’Intérieur


La cybersécurité constitue bien plus qu’un outil de protection des données dans nos organisations : elle contribue à garantir la confiance des populations non seulement dans le numérique mais aussi dans la cohérence de nos institutions qui se modernisent.

Plus de dix ans après la création du pôle de compétitivité Systematic Paris-Region, les enjeux de sécurité ont considérablement évolué. Ce pôle fut à sa création un des premiers avec lequel le ministère de l’intérieur a noué des relations de partenariats pour répondre à de nouveaux besoins de sécurité.

Son implication dans la lutte contre les cybermenaces et le travail mené avec le groupement HEXATRUST, acteur reconnu de la filière industrielle, sont aujourd’hui essentiels pour le renforcement de cette relation avec l’Etat. Le Livre Blanc « cybersécurité & confiance numérique » apparait, en ce sens, comme une première réponse en phase avec l’urgence de la situation.


ÉDITORIAL

La Stratégie nationale pour la sécurité du numérique a été présentée le 16 octobre 2015 par le Premier Ministre, avec pour ambition d’accompagner la transition numérique de la société française. Cette stratégie issue de travaux interministériels coordonnés par l’ANSSI, a été élaborée avec l’ensemble des ministères et a été soumise par le secrétaire général de la défense et de la sécurité nationale (SGDSN) à l’approbation du Premier ministre en application du 7° de l’article R*1132-3 du code de la défense. Elle répond aux nouveaux enjeux nés des évolutions des usages numériques et des menaces qui y sont liées avec cinq objectifs : garantir la souveraineté nationale ; apporter une réponse forte contre les actes de cyber-malveillance ; informer le grand public ; faire de la sécurité numérique un avantage concurrentiel pour les entreprises françaises et renforcer la voix de la France à l’international.L’officialisation de cette stratégie nationale reconnaît ainsi le rôle central de la cybersécurité comme axe fondamental pour la transition de l’économie nationale vers le numérique. Elle affirme également deux aspects complémentaires et indissociables de la cybersécurité pour la future économie numérique : d’une part son rôle fondamental pour la protection des intérêts vitaux de la nation et du patrimoine intellectuel national en même temps que la maîtrise de sa souveraineté, et d’autre part la formidable opportunité économique que peut représenter le marché sous-jacent pour l’ensemble des acteurs de l’écosystème industriel français.

Ces deux aspects se retrouvent intimement liés dans les actions menées

Jean-Noël de Galzain Président du Club HEXATRUST

Jean-Pierre Tual Président du Groupe Thématique Confiance Numérique & Sécurité SYSTEMATIC PARIS-REGION


au sein du Comité de la Filière Industrielle de Sécurité (CoFIS) mis en place le 23 octobre 2013 par le Premier Ministre d'alors, et visant à développer la compétitivité de nos grands groupes et de nos PME qui occupent sur le marché de la sécurité numérique, une place de premier plan, dans un contexte international de compétition exacerbée.L’ambition du présent ouvrage, coordonné par le Pôle Systematic Paris-Region et le groupement HEXATRUST est de fournir un vade-mecum de la cybersécurité, en présentant de manière synthétique les données économiques sous-jacentes, les enjeux, les domaines d’intervention technique, la règlementation applicable ainsi qu'un aperçu de l’écosystème de recherche national du secteur. Il présente également les actions conduites par le groupement HEXATRUST et l'écosystème du pôle SYSTEMATIC PARIS-REGION en matière de développement de produits, de recherche et d'innovation en cybersécurité. Il aboutit sur une évaluation des forces-faiblesses-opportunités-menaces de l’écosystème national et propose enfin des recommandations d’HEXATRUST et du pôle SYSTEMATIC pour le renforcement de notre industrie dans le domaine de la cybersécurité.En ce sens, nous souhaitons qu'il soit utile aux réflexions actuelles, qu’il constitue une référence facile d’accès et puisse apporter une aide aussi bien aux acteurs de l’innovation, aux entrepreneurs, aux utilisateurs, ainsi qu’aux décideurs pour mieux cadrer leurs actions en matière de cybersécurité et de confiance numérique. Dix ans après sa création, le pôle SYSTEMATIC est devenu l'écosystème le plus important en matière de recherche et d'innovation en sécurité numérique en France. Y ont émergé l'IRT SystemX ainsi que les principaux grands projets structurants issus de l'innovation collaborative, financés par le Fonds Unique Interministériel, le Programme d'Investissement d'Avenir et l'Europe. En parallèle, depuis trois ans, le groupement HEXATRUST a réuni les start-up et PME championnes du secteur, avec pour ambition de faire émerger aux côtés des grands groupes industriels et des utilisateurs, de futures ETI de classe mondiale. Son président a été élu en décembre 2016, secrétaire national du réseau thématique #Security #Privacy de la FrenchTech.Ensemble, nous pensons qu'il est essentiel d'associer la dynamique de l'écosystème à celle des PME innovantes et des startups de notre secteur pour transformer la FrenchTech en une French Industry de la cybersécurité et de la confiance numérique.


Le cyberespace est de toute évidence l’une des clés de notre souveraineté. C’est un espace riche d’opportunités mais aussi lourd de risques et de menaces. La cybersécurité représente dès lors une nouvelle donne stratégique.

La France a placé grâce au Livre Blanc sur la défense et la sécurité nationale et aux nombreuses actions qui en découlent, la cybersécurité au rang de priorité nationale.

Impulsant également des initiatives fortes au niveau européen, notre pays a pris la mesure des enjeux et de l'ampleur des efforts nécessaires à opérer.

Ce Livre Blanc « Cybersécurité et confiance numérique » porté par deux acteurs majeurs du secteur, le groupement HEXATRUST et SYSTEMATIC PARIS-REGION, revient sur les multiples enjeux de la cybersécurité et de la confiance numérique. Il rappelle et explique le caractère d'urgence à voir se structurer une filière nationale naissante mais porteuse de beaux horizons. En effet, le marché de la cybersécurité est important, et en forte croissance, en lien avec la construction d’un espace numérique européen. Selon Gartner, le marché mondial de la cybersécurité devrait atteindre 152 Mds € en 2020. Le marché de l'Union Européenne dépassera alors les 22 Mds €. Mais c'est aussi un marché qui se joue sur la scène internationale avec une concurrence très forte.

Renforcement des liens et feuilles de route, programmes nationaux et politique industrielle, investissement, plan cybersécurité de la nouvelle France industrielle, programmes de recherche nationaux mais aussi l'approche européenne en matière de cybersécurité sont abordés par des experts afin de produire une analyse fine, cohérente et réaliste.

L’intensification de la législation en Europe et en France, la directive NIS (Network and Information Security), les réglementations sectorielles fortes, ainsi que les qualifications permettant de résister aux attaques et les

INTRODUCTION


certifications, gage de qualité, introduisent un changement de paradigme sur la question cyber. L’obligation réglementaire étant dorénavant introduite, les considérations actuelles des entreprises sur ce sujet évoluent aussi. C'est tout l'intérêt d'un chapitre consacré à cet aspect.

Enfin, ce livre blanc apporte des réponses en matière de capacités, de solutions et de recommandations concrètes proposées par les acteurs du groupement HEXATRUST qui réunit le fleuron des éditeurs de solutions françaises dans le domaine constituant ainsi le premier pôle d'expertise sur le sol national. L'éclairage global est par ailleurs alimenté et renforcé avec les partenaires de l'écosystème du pôle Systematic Paris-Region et de son groupe thématique « Confiance Numérique & Sécurité » qui rassemble les grands utilisateurs publics et privés, les académiques référents, des investisseurs et des PME impliqués dans la prise en compte des enjeux de la cybersécurité.

01CHIFFRES CLÉS, ENJEUX ETACTEURS


Chiffres clés de la cybersécuritéMarchés de la cybersécurité

Marché mondial

Selon Gartner1, le marché mondial de la cybersécurité a cru de 3.1 Mds € en 2004 à 67 Mds € en 2015 et devrait atteindre 152 Mds € en 2020. Le déploiement généralisé des mobiles, du Cloud, des réseaux sociaux et du Business Intelligence dans les marchés verticaux sont les moteurs principaux du développement de nouveaux services et technologies de cybersécurité.

Un exemple caractéristique en est le marché de la cybersécurité automobile qui, selon IHS2, va croître de manière quasi-exponentielle pour atteindre la valeur de 759 millions de dollars en 2023 avec des croissances variables selon les segments concernés.

Les constructeurs et équipementiers automobiles prennent désormais au sérieux les enjeux de cybersécurité et examinent avec intérêt les

1 Gartner, septembre 20152 Automotive Cybersecurity and Connected Car, IHS Automotive, September 2016

http://www.gartner.com/newsroom/id/3135617

http://www.ihssupplierinsight.com/shop/product/5002659/automotive-cybersecurity-and-connecterryd-car


Allemagne 4, 3 Mds € 6 %

Royaume-Uni 3,7 Mds € 6 %

France 3,0 Mds € 5 %

différentes manières de développer et d’implémenter des solutions de cybersécurité. Le partenariat mondial pluriannuel entre RENAULT-NISSAN et MICROSOFT autour de la voiture connectée qui a été annoncé en septembre 2016 confirme cette situation.

Les objets connectés représentent une autre tendance structurante. D’une part l’explosion des objets connectés - 3,5 milliards en 2016, potentiellement 50 milliards d’objets en 2020 - augmente d’autant les enjeux liés à la sécurité de ces derniers. D’autre part, les objets connectés intègrent et structurent progressivement nos sociétés modernes, que ce soit dans le domaine civil, industriel, ou militaire, ce qui rend la sécurité de ces derniers impérative. Le marché de la sécurité des objets connectés devrait atteindre 36,95 Mds $ en 2021 selon Markets and Markets3.

Marchés nationaux4

Le marché US représente à lui seul plus de 40 % du marché mondial, l’Europe environ 25 %, c’est-à-dire 17 Mds €, sans inclure la Russie.

Les taux de croissance les plus élevés sont ceux de l’Inde et de la Chine qui témoignent d’un niveau de maturité encore faible en matière de cybersécurité et d’un potentiel de marché important pour la filière industrielle.

L’Allemagne, le Royaume-Uni et la France sont les trois premiers marchés de l’Union Européenne (UE) avec les niveaux (données 2014) et taux de croissance (moyenne 2015-2024) suivants :

4 Les chiffres présentés ici proviennent pour l’essentiel des rapports de l’ECSO (European Cyber Security Organisation), le groupement des industriels européens de la cybersécurité constitué dans le cadre du Cyber Security contractual Public-Private Partnership (cPPP) et des données rassemblées par le projet EC FP7 IPACSO (Innvation Platform for ICT Security) et par l’étude 2015 du PIPAME déjà citée.

3 www.marketsandmarkets.com/Market-Reports/iot-security-market-67064836.html

http://www.ecs-org.eu

http://ipacso.eu/

http://www.entreprises.gouv.fr/etudes-et-statistiques/catalogue-prospective

http://www.marketsandmarkets.com/Market-Reports/iot-security-market-67064836.html


Avec une croissance annuelle moyenne de plus de 6 %, le marché de l’UE dépassera les 22 Mds € en 2020.


Menaces et impacts de la cybercriminalité

En matière de cybercriminalité, Cybersecurity Ventures5 prévoit un doublement des coûts mondiaux d’impacts de 2015 à 2021, soit de 3 trillions € à 6 trillions €, incluant la corruption et la destruction de données, l’argent volé, la productivité perdue, le vol de propriété intellectuelle, le vol de données personnelles et financières, le détournement, la fraude, la perturbation du cours des affaires suite aux attaques, les analyses post-attaques, la restauration des données et des systèmes attaqués et les atteintes à l’image.

En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) note dans son rapport d’activité 20156 la forte croissance de la cybercriminalité : 4 000 signalements d’attaques ont été reçus en 2015, soit 50 % de plus qu’en 2014. La répartition des attaques selon les modes utilisés est illustrée sur la figure ci-dessous. À noter que plus de 60 % des attaques visent la défiguration de sites Internet et plus de 10 % la compromission de systèmes d’information.

6 Rapport d’activité 2015, ANSSI, août 2015

5 Hackerpocalypse: A Cybercrime Revelation, Cybersecuity Ventures, Q3 2016

http://cybersecurityventures.com/hackerpocalypse-cybercrime-report-2016/


7 Quand la cybersécurité devient un enjeu stratégique, Usine Nouvelle, 21-27 janvier 2016

Sur les 228 industriels interrogés à la fin de l’année 2015 par "L’Usine Nouvelle"7, près de la moitié reconnaissait avoir été victime d’une cyberattaque causant un impact financier (pour 34 %) et écornant l’image de l’entreprise (pour 19 %).

La même enquête fait apparaître que la sécurisation des environnements industriels reste une « course d’obstacles » en raison des nombreux freins rencontrés (comme le manque de budget déployé pour la cybersécurité, le manque de prise de conscience du risque, l’absence de concertation entre les services concernés …)

Enjeux de la cybersécuritéVision stratégiqueLes enjeux de la cybersécurité peuvent être vus sous plusieurs aspects :

du point de vue de la souveraineté, le manque évident de frontières dans le cyber espace rend les Etats de plus en plus vulnérables face à l’apparition des nouvelles menaces informatiques. De ce point de vue,


la cybersécurité est appelée à jouer un rôle de plus en plus fondamental dans la protection des ressources stratégiques de la nation, y compris vis-à-vis d’attaques menées par des acteurs gouvernementaux (cf par exemple les dernières déclarations du président Obama, en marge du sommet du G20 tenu à Hangzhou (Chine) en septembre 2016, plaidant pour un code de « bonnes pratiques » entre Etats plutôt que pour une course aux « cyber-armements »).

du point de vue économique, les enjeux de la cybersécurité sont également fondamentaux puisque de plus en plus les cyber-attaques informatiques sont massives et menées par des groupes extrêmement bien organisés et compétents. Les conséquences de telles attaques peuvent être particulièrement critiques au niveau financier (exemple de la récente attaque du réseau interbancaire SWIFT entre avril et mai 2016, ayant conduit à des détournements frauduleux de plusieurs dizaines de millions de dollars US, ou encore de l’attaque de type DDoS du 21 octobre 2016 contre les serveurs Dyn et ayant paralysé pendant plusieurs heures une partie du réseau Internet aux US et gravement perturbé les activités économiques touchées).

du point de vue industriel, la cybersécurité constitue un enjeu majeur à la fois en matière de protection du patrimoine des entreprises (et particulièrement de nos PME, encore trop peu sensibilisées à la protection de leur système d’information) comme en matière de création de valeur, aussi bien en termes de revenus que d’emplois à très forte valeur ajoutée, portée par de grands groupes capables d’influencer les standards et par les nombreuses PME innovantes du secteur.

en termes sociaux ou sociétaux enfin, les enjeux associés à la cybersécurité imposent de manière essentielle la recherche des meilleurs compromis entre la protection de la vie privée de tout un chacun et la nécessité de vivre dans des sociétés sûres où le concept de confiance numérique parvient à s’imposer face à une vision beaucoup plus négative du type « big brother is watching you ». De ce point de vue de nouvelles approches holistiques sont requises, basées sur une meilleure intégration des technologies, de la règlementation et des sciences humaines et sociales, conduisant à des politiques de sécurité contextualisées, fluides et efficaces mettant les utilisateurs (cyber-citoyen, consommateur ou acteur) au centre des préoccupations.


8 Analyse du marché et des acteurs de la filière industrielle française de sécurité, PIPAME, novembre 20159 D’autres segmentations proches ont été proposées, en particulier celle présentée par le GICAT dans CYBERSÉCURITÉ ( P R O T É G E R - R É A G I R - A N A L Y S E R ) publiée en 2015 en partenariat avec HEXATRUST

Segmentation fonctionnelle des enjeuxDans le cadre de son rapport de prospective8 consacré au marché et aux acteurs de la filière industrielle française de sécurité, le Pôle interministériel de prospective et d’anticipation des mutations économiques (PIPAME) a établi une segmentation9 détaillée qui constitue une référence pour le domaine et présente l’avantage de situer la cybersécurité dans le contexte plus global de la sécurité.

Celle-ci est subdivisée en plusieurs catégories :

produits et solutions : gouvernance, gestion des identités et des accès, sécurité des données, des applications, des infrastructures, des produits et équipements

services : audit, planning, conseil ; mise en œuvre ; infogérance, exploitation ; formation

En France, l’activité se répartit sur les différents segments comme précisé dans le tableau suivant.

Produits et solutions cybersécurité

CA France 2013 (M€)

Part de marché (%)

CAGR

Gouvernance 19,5 2 % 14 %

Gestion identités et accès 102,0 10 % 6 %

Sécurité des données 45,0 5 % 9 %

Sécurité des applications 23,0 2 % 12 %

Sécurité des infrastructures 406,0 42 % 4 %

Sécurité des produits et équipements 379,0 39 % 7 %

Total 974,5 31 % 6 %


Services de cybersécuritéAudit, planning, conseil 433,0 20 % 14 %

Mise en oeuvre 811,0 37 % 10 %

Infogérance, exploitation 885,0 41 % 13 %

Formation 42,0 2 % 8 %

Total 2171,0 69 % 12 %

Total produits et services de cybersécurité 3145,0 100 % 10 %

Les solutions de cybersécurité proposées par Atos couvrent l'ensemble des thématiques décrites dans l'étude du PIPAME. Elles sont principalement mises en œuvre à travers le déploiement international de Security Operations Center (SOC) et des services associés : avec plus de 13 SOC installés dans le monde (dont le dernier ouvert en Roumanie en septembre 2016), Atos offre l'ensemble des capacités nécessaires à la protection de l'activité de ses clients nationaux et internationaux, à commencer par détection des cyberattaques en 24/7 en s’appuyant sur la certification PDIS qui sera délivrée par l’ANSSI.

La surveillance continue et prédictive des événements de sécurité, la détection des cyberattaques en temps réel et la neutralisation rapide des incidents liés à la sécurité sont des éléments essentiels de ces capacités. En matière de détection de menaces, le défi technologique est de pouvoir analyser et corréler des signaux faibles dans des volumes de données massives et hétérogènes: par exemple, des données "internes" telles que les traces de log et des données "externes" telles que celles observées sur les réseaux sociaux ou dans le web profond, plus difficile d’accès. Nous y répondons en associant les solutions de traitement intensif des supercalculateurs Bull d'Atos et les algorithmes de Data Analytics qui constituent une priorité majeure de nos activités de R&D à moyen-terme.

Par ailleurs, je pense que les solutions de sécurité doivent dans certains cas associer des dispositifs matériels maitrisés pour protéger le cœur


de la sécurité ; la relative faiblesse en la matière des PME de la filière française est une préoccupation, car elles apparaissent de plus en plus ciblées par les cybercriminels. Enfin, à plus long-terme, nous faisons le pari que des ruptures technologiques importantes, comme le calcul quantique, vont se réaliser et bouleverser la cryptologie, et nous nous y préparons.

Philippe Duluc, CTO, Big Data & Security Group VP d'ATOS, membre du Bureau Exécutif de Systematic

La Filière industrielle nationaleEncouragée par les nouvelles technologies, le défi de la transition numérique, de la protection des données et de l'identité, ou encore de la cyberdéfense, la cybersécurité peut à terme, représenter une vitrine de la compétitivité française. Poussé par la montée en puissance des affaires d’espionnages ou d’attaques cybernétiques, le cyberespace est désormais un nouvel espace stratégique qui exige la structuration d'une filière nationale industrielle naissante mais porteuse de beaux horizons.

L'objectif est de porter une offre technologique de confiance capable de répondre aux exigences des utilisateurs et donneurs d'ordres nationaux. Il s'agit par ailleurs, d'amener les entreprises françaises à peser sur la scène internationale face aux politiques volontaristes menées en la matière par les États-Unis, la Russie ou la Chine.

La structuration progressive d’une filière industrielle française de la confiance numériqueAinsi, le marché de la « confiance numérique » pèse d’ores et déjà plusieurs milliards d’euros en France. L’activité de la filière cybersécurité pourrait croître de 10,4 % par an d'ici à 2020, pour une progression de 7,4 % de l’emploi.

La filière française de cybersécurité rassemble quelque 600 entreprises générant 6 % des emplois du secteur marché et 10 % du chiffre d’affaires de la filière française de la sécurité (données 2013 de l’étude du PIPAME).


Le niveau global d’activité est de 3,145 Mds € et représente 18 500 emplois. Une croissance prévisionnelle de près de 12 % est annoncée pour 2016. Les PME affichant un chiffre d’affaires de moins de 5 M€ ont connu la croissance la plus forte.

Renforcement des liens et feuilles de routeLa structuration de la filière appelle à un renforcement des liens avec les acteurs institutionnels et privés nationaux de la cybersécurité, de la sécurité et de la défense mais aussi avec les opérateurs d'importance vitale.

La mise en place d'une feuille de route technologique, centrée sur la R&T doublée d'une feuille de route industrielle est nécessaire et doit intégrer, au-delà de la R&T, d’autres facteurs clés de structuration telle que la commande publique ou privée, nationale ou internationale et la normalisation. (voir chapitre "Programmes nationaux et européens" p. 24)

Programmes nationaux et politique industrielleIl est indispensable d'avoir des programmes nationaux, mais également une politique de recherche et développement, des actions en faveur de la normalisation et de la certification et en cohérence, ainsi qu'une politique d'export, réaffirmant en outre la mobilisation des acteurs fédérateurs pour l'aide à l'exportation à destination des PME du secteur de la cybersécurité.

Partant d'une politique industrielle en construction et d'une stratégie en réflexion, la structuration d'une filière exige un travail complémentaire de coordination entre les différents ministères et ce en lien avec les industriels. (voir chapitre "Programmes nationaux et européens" p. 24)

En 2017, Jean-Noël de Galzain, Président d’HEXATRUST, est nommé secrétaire national du réseau thématique #Security #Privacy de la FrenchTech. Cette mission conduite en lien avec les Métropoles FrenchTech Côte d’Azur, Montpellier et Rennes-Saint Malo vise à renforcer la visibilité des start-up de l’écosystème, en France et à l’international, avec le support de la Mission FrenchTech.

La synergie doit aussi passer par les marchés de Défense exportateurs qui ont atteint des chiffres records en 2015, de près de 15 milliards d'euros. Egypte, Qatar, Koweït, Inde... les contrats sont nombreux et


impliquent des transferts de technologies, de données... Il devient donc essentiel dans ce contexte international à la concurrence exacerbée, où le secret des affaires et l'intelligence économique sont primordiaux, d'adosser à ces contrats une dimension cybersécurité adaptée aux enjeux.

« Emmener des entreprises françaises de cybersécurité et inclure dans ces contrats d'exportation une clause cyber de 2 à 3 % du montant du contrat devrait être automatique et systématique ! »

Jean-Noël de Galzain, président d'HEXATRUST et PDG de WALLIX Group

Repenser l’investissementLa filière française souffre d’un manque d'entreprises de taille critique : 30 acteurs se partagent 80% du chiffre d’affaires global. Ils sont par ailleurs peu positionnés sur les segments émergents portés par les PME, éditeurs de logiciels de cybersécurité innovants. Pour répondre à cette problématique il est important de voir émerger des entreprises de taille intermédiaires sur ces marchés clés, et des intégrateurs, encore trop peu nombreux. Pour cela, il est nécessaire de confier des marchés stratégiques aux PME sur la base d'offres de confiance qualifiées et certifiées par l'ANSSI, et d'attirer des investisseurs privés pour financer la croissance des PME : business angels, fonds d’investissement et corporate ventures.

En moyenne, les acteurs de la filière cybersécurité investissent à hauteur de 47 % de leur chiffre d’affaires en recherche et développement. Les entreprises du secteur souffrent de sous-capitalisation et manquent d’investissement privé. Au final, elles s’avèrent particulièrement dépendantes du crédit impôt recherche et du crédit d’impôt pour la compétitivité et l’emploi (voir chapitre Programmes nationaux et européens). 71% des PME de la filière utilisent le crédit impôt recherche selon l’étude ENFIN Cyber de janvier 2016, 29% les services de BPI France et une seule est au portfolio du fonds Ambition Numérique.

L’investissement du public sensibilisé aux problématiques de la cybersécurité pourrait-il drainer de nouveaux capitaux ? L’entrée en bourse remarquée de la société WALLIX Group en 2015, et son succès auprès des investisseurs financiers et du public, a ouvert une nouvelle voie et de nouvelles perspectives de sortie, autre que le rachat par des industriels étrangers.


La cybersécurité est l'un des axes sectoriels qui figurent au cœur de notre plan stratégique de Bpifrance pour 2016-2019. Nous travaillons notamment sur plusieurs projets de création de fonds dans ce segment de la cybersécurité. Des investissements financiers et corporate sont à l'ordre du jour et j'ai bon espoir de voir de nouvelles actions concrètes émerger au cours de l'année 2017. Je pense également que ce besoin mérite d’être porté au niveau européen, dans le cadre du plan Juncker. Pour que nos entreprises “performent” sur le marché mondial dominé par les Américains et les Israéliens, il nous faut créer un marché cohérent. Il faut avoir une offre européenne qui participe à l'émergence de champions français sur la scène internationale.

Pascal Lagarde - directeur exécutif, International, Stratégie, Etudes et Développement Bpifrance

Marché du cloud souverain

OVH a bouclé une augmentation de capital minoritaire de 250 millions d'euros, réalisée auprès des fonds américains KKR et Towerbrook. La valorisation de l'entreprise française dépasse ainsi le milliard d'euros. OVH entend financer son plan de développement à l'horizon 2020, qui prévoit un fort développement à l'international. 1,5 milliard d'euros seront investis dans les quatre prochaines années pour franchir un nouveau cap, avec l'objectif de dépasser la barre du milliard d'euros de chiffre d'affaires en 2020.

LinkbyNet a quant à lui opéré une levée de fonds de 50 millions d'euros auprès du fonds Keensight Capital se projetant ainsi dans une nouvelle dimension à l’international.


Le nécessaire prisme européenLa filière nationale cybersécurité offre des perspectives prometteuses. Néanmoins, pour aboutir à des résultats concrets, elle doit également se penser au niveau européen.

La concurrence en matière de cybersécurité impose aux acteurs industriels d’avoir rapidement accès à un marché intérieur conséquent, leur permettant d’atteindre une taille critique. L’Europe représente ainsi l’opportunité de faire émerger un marché unique et mature, comparable à la Chine ou aux Etats-Unis, pour la fourniture de solutions de cybersécurité, à la mesure des besoins. Pour l'heure, ce marché est trop fragmenté. Il en résulte la difficulté pour les entreprises européennes d'être concurrentielles au niveau local et mondial. Par ailleurs, le choix des technologies viables et utilisables en matière de cybersécurité qui s'offre aux citoyens et aux entreprises se trouve restreint. Il faut donc élargir la définition de « confiance » au niveau européen et, à défaut des 29 États au complet, ouvrir la voie avec certains pays comme l’Allemagne. Une vision européenne commune permettra de faire émerger et porter une stratégie conjointe. Le rachat de Denyall en janvier 2017 par le groupe industriel allemand Rohde & Schwarz montre la voie d’une consolidation européenne du secteur où l’axe franco-allemand peut jouer une dynamique déterminante ! Parallèlement, le développement de mécanismes de reconnaissance mutuelle en matière règlementaire est, entre autres, une démarche essentielle permettant une coopération accrue entre les agences de certification.

En conclusion que ce soit en termes de compétences mathématiques, de cryptographie et d'ingénierie, mais aussi grâce à un tissu composé d'acteurs économiques et académiques d'excellence, innovants, et complémentaires, l’Hexagone possède des atouts majeurs pour constituer une filière de cybersécurité de rang mondial. Pour y parvenir et peser face aux acteurs anglo-saxons ou israéliens qui ont pris précocement la mesure du caractère stratégique et capital de la cybersécurité, les acteurs nationaux doivent impérativement réussir à se structurer ! C’est l’objet des recommandations présentées au Chapitre V. La filière « cybersécurité » offre incontestablement des perspectives prometteuses que ce soit en termes d’emplois et de retombées commerciales. Elle est surtout nécessaire pour garantir la souveraineté française et européenne. Sans celle-ci les entreprises européennes


risquent de voir l’information stratégique leur échapper, tout autant que le contrôle des infrastructures numériques. La création d’une filière de la confiance numérique nationale, et/ou européenne, est donc un impératif économique, politique, sociétal de premier plan pour garantir la primauté des sociétés européennes et de leur industrie.

L'excellence française se présente comme un moteur pour l'Europe. Elle permettra d'acquérir une autonomie stratégique à la condition d'être valorisée et accompagnée.

Programmes nationaux et européensLa recherche publique françaiseCette présentation des activités de la recherche publique française a été préparée par Claude Kirchner, directeur de recherche à l’Inria, co-animateur avec Jean Mairesse du groupe de travail Cybersécurité10 de l’Alliance Allistene11 et Didier Rémy, adjoint au directeur scientifique de l'Inria. Ce groupe de travail regroupe des représentants du CEA, du CNRS, de la Conférence des Directeurs des Écoles Françaises d'Ingénieurs (CDEFI), et de la Conférence des Présidents d'Université (CPU), de l'Institut des Métiers et des Technologies (IMT), et d’Inria et a été mis en place dans le cadre de la feuille de route du plan cybersécurité de la Nouvelle France Industrielle, qui a mandaté Allistene pour l’action « Mieux piloter la R&D en cybersécurité et accroître sa valorisation ».

Quelle a été la démarche du groupe de travail Cybersécurité ?

Le premier objectif de ce groupe a été de faire une cartographie de la recherche académique française en cybersécurité. Pour cela, nous nous sommes reposés sur une taxonomie dérivée de celle de l’ACM (Association for Computing Machinery) s’appuyant sur 11 principaux thèmes de la recherche en cybersécurité :10 www.allistene.fr/organisation-allistene/groupes/groupe-cybersecurite11 ALLISTENE, l’alliance des sciences et technologies du numérique, a pour but d’assurer une coordina-tion des différents acteurs de la recherche publique dans les sciences et technologies du numérique.

https://www.allistene.fr/organisation-allistene/groupes/groupe-cybersecurite


1 - Cryptology design, techniques and protocoles2 - Formal methods, and theory of security and privacy 3 - Security services 4 - Intrusion/anomaly detection and malware mitigation 5 - Security in hardware 6 - Systems security 7 - Network security 8 - Database and storage security and privacy 9 - Software and application security10 - Human, societal and ethical aspects of security and privacy 11 - Forensics

Pour cartographier l’ensemble des activités cybersécurité académiques entrant dans les compétences d’Allistene nous avons demandé à chacune des équipes traitant de cybersécurité d’évaluer sur chacun des thèmes quel était son degré d’implication et quels sous-thèmes étaient abordés dans l’équipe. Nous avons été attentifs à couvrir globalement l’ensemble des équipes concernées et à ne pas compter plusieurs fois la même activité. Toutefois, ont pu échapper à cette analyse les équipes académiques ne relevant pas des institutions représentées dans le groupe de travail dont en particulier certaines équipes en sciences humaines et sociales. Les éléments ci-dessous pourront certainement être affinés pour obtenir la meilleure couverture possible mais aussi pour suivre leur évolution sous l’effet des changements rapides dans le domaine de la cybersécurité. Mais ils présentent d’ores et déjà des aspects particulièrement intéressants dont les grandes lignes sont les suivantes.

Quels principaux éléments quantitatifs ressortent de cette cartographie ?

Globalement, la recherche académique française en cybersécurité est importante avec quelques 1000 scientifiques directement impliqués dont environ 140 chercheurs CNRS, CEA ou Inria, 220 professeurs ou maîtres de conférence des universités ou des grandes écoles, 120 ingénieurs, 80 postdoc et quelques 370 étudiants préparant actuellement une thèse en cybersécurité dans une équipe d’une entité d’Allistene.


La répartition des travaux sur les principales thématiques est décrite ci-dessous. On peut déjà observer que la cryptologie, la cybersécurité du matériel et les méthodes formelles pour la cybersécurité sont les trois thématiques dominantes, alors que la sécurité des « big data » et les analyses forensics sont moins étudiées.

Quelles conclusions concernant la couverture des différentes thématiques ?

Bien que les compétences françaises en cybersécurité soient élevées, les forces restent insuffisantes dans certains domaines au regard des besoins importants, notamment en formation de cadres de haut niveau pour l’industrie, en raison des risques croissants démontrés par des attaques de plus en plus sophistiquées dont le nombre, l’ingéniosité, l’ampleur et les moyens mis en œuvre sont en constante progression. Les quelques 120 docteurs diplômés par an dans la filière sont particulièrement bienvenus, mais leur nombre est encore très en deçà des besoins.

La cartographie montre que les recherches pour la sécurité des bases de données, du big data et du respect de la vie privée ainsi que les analyses post-mortem (forensics) sont peu représentées: ce sont des axes à soutenir plus particulièrement. La recherche sur la sécurité des systèmes et des réseaux, bien que présente pourrait aussi être renforcée, car c'est souvent un point névralgique dans les attaques de grande ampleur et la complexité des systèmes pose encore un réel défi aux méthodes formelles. La contribution des sciences humaines et sociales à la cybersécurité doit aussi être consolidée car la technique ne peut pas être la seule réponse à la cybersécurité, et les aspects sociologiques, ergonomiques, économiques et politiques doivent aussi être pris en compte.

Quels sont les défis à venir et vos recommandations pour les aborder au mieux ?

Au-delà de cette analyse, les défis scientifiques, techniques ou sociétaux pour garantir les souverainetés numériques et économiques au niveau individuel, national ou européen sont nombreux et pressants. Les enjeux sociétaux sont considérables et concernent en particulier l’ensemble des secteurs d’importance vitale, énergie, communication, supervision et décision, mais aussi les villes intelligentes, les véhicules autonomes, etc. Ils bénéficient des résultats scientifiques et technologiques et


induisent des priorités parmi lesquelles on peut citer, sans exhaustivité, la cybersécurité dans le déploiement de l’internet des objets, la capacité à prouver mécaniquement la correction des composants clefs de la cybersécurité, la sécurité post-quantique, la cybersécurité des systèmes et des réseaux, le machine learning pour la cybersécurité. Au niveau sociétal mentionnons la formation à la cybersécurité de tous les individus, incluant les simples citoyens de tous âges, les décideurs politiques ou économiques, les acteurs industriels ; la géostratégie de la cybersécurité ; l’ergonomie pour la cybersécurité.

Ces défis ne pourront être relevés que par un soutien particulièrement fort de la recherche et de la formation en cybersécurité et un investissement important au niveau national et européen dans des collaborations académiques et industrielles. C’est l’objet du cPPP européen sur la cybersécurité (ECSO) dans lequel les acteurs français sont fortement impliqués, mais où la recherche scientifique doit être attentive à être représentée à proportion de son importance stratégique. C'est également l’objet du projet CERI impliquant en particulier les équipes de recherche de Nancy et de Sarrebruck. C’est aussi l’objet de coopérations académiques fortes avec le Japon ou avec les USA.

Le plan cybersécurité de la Nouvelle France Industrielle (NFI)Elaboré fin 2014 - début 2015 par une équipe projet présidée par Guillaume Poupard, directeur général de l’ANSSI, le plan « Cybersécurité » de la Nouvelle France Industrielle, le Plan 33, est structuré autour des quatre objectifs suivants, chacun décliné en actions spécifiques dont on trouvera le détail dans sa feuille de route12 :

Objectif 1 : Accroître significativement la demande en solutions (produits et services) de cybersécurité de confiance Objectif 2 : Développer pour les besoins de la France des offres de confiance Objectif 3 : Organiser la conquête des marchés à l’étranger Objectif 4 : Renforcer les entreprises nationales du domaine cybersécurité

12 Nouvelle France Industrielle : feuille de route du plan cybersécurité, janvier 2015


Les principales actions de la feuille de route engagées à ce jour sont précisées ci-dessous.

Label " France Cybersecurity "

Le label « France Cybersecurity » répond à plusieurs besoins et objectifs :

promouvoir les solutions de cybersécurité françaises et accroître leur visibilité à l’international

sensibiliser les utilisateurs et donneurs d’ordre internationaux à l’importance de l’origine française d’une offre de cybersécurité et aux qualités qui lui sont propres

attester auprès des utilisateurs et donneurs d’ordre, la qualité et les fonctionnalités des produits et services ainsi labellisés

accroître globalement leur usage et élever le niveau de protection des utilisateurs

Le label « France Cybersecurity » est la garantie pour les utilisateurs que les produits et services qui portent le label sont français et qu’ils possèdent des fonctionnalités claires et bien définies, avec un niveau de qualité vérifié par un jury indépendant.

Cette garantie est apportée par la vérification du bon respect du cahier des charges du label et l’examen des éléments factuels apportés par le fournisseur sur la qualité et la performance de ses produits et de ses services. Cette garantie s’appuie notamment sur les certifications, qualifications et labellisations de cybersécurité lorsqu’elles existent, et sur une évaluation tierce pertinente.

Depuis le lancement officiel du label en janvier 2015, plus de 70 produits ou services en ont bénéficié. Un catalogue des produits labellisés a été réalisé afin de soutenir la promotion de ces objectifs et des offres labellisées à l’export.


L’analyse des retombées du Label sur l'accroissement de la demande et d’usage de solutions souveraines auprès des utilisateurs, en France comme à l’international, permettra de mesurer la portée des travaux de création de valeur.

Observatoire de la cybersécurité

Dans la dynamique du Plan 33 et du réseau "ENFIN Cyber !", l'observatoire national de la cybersécurité a été initié en concertation avec l’ensemble des acteurs de la filière en 2016.

Cet observatoire a vocation à établir un référentiel commun de portée nationale et européenne qui répond à de nombreuses exigences, dont celles de faire converger les initiatives autour de l’offre et de la demande, de comprendre et recenser les besoins des utilisateurs mais aussi d’offrir une vision prospective de la filière industrielle (compétences, métiers, emplois).

Groupe de travail cybersécurité de l’Alliance Allistene

Présenté plus haut, ce groupe de travail porte l’action « Mieux piloter la R&D en cybersécurité et accroître sa valorisation ».

Plateforme CHESS portée par l’IRT SystemX

Présentée dans le chapitre IV, la plateforme CHESS vise à répondre aux défis que rencontrent les industriels dans les phases de conception, de modélisation, de simulation et d’expérimentation des innovations futures pour la sécurité du numérique.

Projet S3P

Le projet « Smart, Safe and Secure Platform (S3P) » vise à fournir une plateforme d’exécution et de développement (« Android Industriel ») pour l’Internet des Objets ainsi que pour les applications industrielles (aéronautique, énergie, ferroviaire, usine du futur) et grand public (santé, sécurité des biens et des personnes). L’environnement matériel et logiciel


développé sera capable de maintenir un niveau de qualité et disposera des outils de modélisation et de développement système et applicatif efficaces certifiés.

Démonstrateurs de radiocommunications sécurisées du futur

Dans le cadre du développement de démonstrateurs soutenus par le comité de filière des industries de sécurité (CoFIS), le lancement d’un démonstrateur en matière de radiocommunications sécurisées du futur a été acté début 2016. Ce démonstrateur est construit autour de deux projets complémentaires : LTE4PMR et FED4PMR.

L'European Cyber Security Organisation

Une association européenne intitulée ECSO (European Cyber Security Organisation) a été créée en juin 2016 dans le cadre du lancement du partenariat public-privé européen pour la cybersécurité (cPPP). Comme a pu faire valoir la France dans sa réponse à la consultation publique de la Commission européenne, avant la mise en place du cPPP, ce dernier devra refléter les évolutions récentes dans la notion de cybersécurité entendue comme la « sécurité du numérique » en agissant à deux niveaux : la priorisation des thématiques de R&I en matière de sécurité du numérique ; l’identification des enjeux clés pour la politique industrielle de sécurité du numérique, comme la certification de sécurité et la prise en compte de la sécurité dès la conception (notion de « security by design »).

Les activités d’ECSO ont pour objectifs de répondre aux trois missions qu’elle s’est données :

Favoriser et protéger des menaces de cybersécurité la croissance du marché unique numérique européenDévelopper le marché de la cybersécurité en Europe et la croissance d’une industrie compétitive de la cybersécurité.Développer et mettre en œuvre des solutions de cybersécurité pour les « supply chains » critiques dans les domaines sectoriels où l’Europe a une position de leadership.


Elles sont structurées en groupes de travail (WG) couvrant les thèmes suivants :

WG1: Standardisation, certification, labelling and supply chain management

WG2: Market deployment and investments

WG3: Sectoral demand

WG4: Support SME, coordination with countries (in particular East EU) and regions

WG5: Education, training, awareness, exercises

WG6: Strategic Research and Innovation Agenda (SRIA)

Essentiellement constitué à ses débuts d’acteurs de la recherche et de grands groupes industriels, ECSO devra rapidement fédérer un écosystème européen beaucoup plus large et plus représentatif des acteurs de l’innovation du marché que sont les start-up et les PME de la cybersécurité.

02 CADRES ETRÉGLEMENTATIONS


La question de la cybersécurité au niveau des entreprises se trouve à un tournant. L’intensification de la législation en Europe et en France introduit un changement de paradigme sur la question.

L’obligation réglementaire étant dorénavant introduite, les considérations actuelles des entreprises sur la cybersécurité évoluent.

Parmi les grands enjeux identifiés par l’ANSSI et Guillaume Poupard, Directeur Général de l’agence nationale, figure la transposition de la directive NIS (Network and Information Security) en France et en Europe, la nécessité d’éviter la création de paradis sécuritaires en Europe qui, à la manière des paradis fiscaux, procurent des avantages réglementaires par rapport aux autres Etats.

Il est donc essentiel de rappeler l’enjeu de travailler sur la confiance de manière objective (évaluation, certification…) tout en restant cohérent et en favorisant la lisibilité.

Le but : avoir un outil efficace au service des acteurs de la filière.

Il y a par ailleurs aujourd’hui une véritable volonté de porter un outil de certification commun notamment à la France et à l’Allemagne afin de promouvoir les sociétés des deux pays et d’insuffler une démarche européenne plus large, en adéquation avec notre culture de la liberté et du respect de la vie privée.

Le pilier de la souveraineté nationale est essentiel. Il passe par de la règlementation et des solutions pratiques, industrielles, disponibles, de confiance et efficaces. Cela fait écho aux travaux de qualification menés par l’ANSSI pour établir une filière de cybersécurité de confiance. (…) Nous avons besoin de porter des messages dans les instances internationales, notamment à l’ONU et l’OCDE. Beaucoup d’entre elles parlent de cyber, avec des projets et cadres qui commencent à émerger malgré la complexité liée au fait qu’au sein même de celles-ci, nous sommes amenés à échanger avec ceux qui nous attaquent.

Guillaume Poupard, directeur général de l’ANSSI – cybercercle 2016


La cybersécurité des OIVLa cybersécurité des opérateurs d’importance vitale (OIV) s’intègre dans le dispositif interministériel plus large de sécurité des activités d’importance vitale (SAIV) inscrit dans le code de la défense.

Ce dispositif a permis d’identifier et de classer plus de 200 entreprises - OIV privés et publics - qui exploitent ou utilisent des installations jugées indispensables pour la survie de la Nation.

Pour faire face aux nouvelles menaces cyber, l’article 22 de la loi de programmation militaire (LPM) de 2013, qui constitue pour le ministère français de la Défense, la première étape de la mise en œuvre des nouvelles orientations stratégiques du Livre Blanc sur la défense et la sécurité nationale de 2013, impose aux OIV la déclaration et le renforcement de la sécurité des systèmes d’information critiques qu’ils exploitent : les systèmes d’information d’importance vitale (SIIV). Cette sécurisation passe notamment par l’application d’une vingtaine de règles de sécurité parues avec les arrêtés sectoriels déclinant la LPM ; qui ont pour objectif commun de faire appliquer les bonnes pratiques d’hygiène informatique.

Plusieurs exigences sont imposées : respect de règles de sécurité spécifiques, recours à du matériel et des prestataires qualifiés pour la détection des événements de sécurité, notification obligatoire et sans délai au premier ministre des incidents de sécurité et contrôles de sécurité réguliers commandités par l’ANSSI.

Des dispositions pénales à la fois pour les dirigeants et la personne morale sont prévues pour sanctionner les organismes qui manqueraient à leurs obligations : elles s’élèvent à 150 000 € pour le dirigeant de l’OIV et à 750 000 € pour la personne morale.

Depuis juin 2016 sont parus au Journal Officiel de la République Française les premiers arrêtés sectoriels déclinant la LPM. Ils sont entrés en vigueur au 1er octobre 2016. Dès ce début d’année 2017, tous les OIV doivent avoir déclaré leur SIIV à l’ANSSI et communiqué les coordonnées de leur service de permanence SSI.


La France est ainsi l’un des tous premiers pays à s’appuyer sur la réglementation pour définir un dispositif efficace de cybersécurité de ses infrastructures critiques.

L’impact de la LPM sur l’industrie L’obligation de mise en conformité va accélérer le processus de rapprochement entre OIV et acteurs de la confiance numérique et favoriser le développement d’une industrie pérenne de la cybersécurité.

Afin de répondre à ces exigences générales et spécifiques un décret a été publié en 2015 dont l’objectif est de donner aux OIV les moyens de mettre en œuvre la LPM en s’appuyant sur des prestataires et produits de confiance, évalués dans le cadre de processus de qualification formels conformément aux exigences de l’ANSSI. On peut notamment citer Prestataire d’Audit de la Sécurité des Systèmes d’Information - PASSI (audit), Prestataire de Détection d’Incidents de Sécurité - PDIS (détection d’incident) et Prestataire de Réponse aux Incident de Sécurité - PRIS (réaction aux incidents). Enfin, le site de l’ANSSI répertorie les produits qualifiés et certifiés.

Transposition de la directive NIS

La directive Network and Information Security (NIS), qui devrait rentrer en vigueur en 2018, pose un cadre européen, compatible avec la LPM, que chaque pays aura la responsabilité de décliner sur son territoire. Elle traite des mesures à mettre en place afin d’assurer un niveau élevé de sécurité en matière de systèmes de réseaux et d’information des 27 États membres de l’Union européenne.

Au-delà des opérateurs d’importance vitale, elle élargit son champ d’application aux « opérateurs fournissant des services essentiels » et aux « fournisseurs de services numériques » à savoir les sites de e-commerce, le cloud computing et les moteurs de recherche. En revanche, les réseaux sociaux tels que Facebook, Twitter, etc., ne sont pas concernés par cette directive. Ce qui appelle à bien des interrogations !

La directive NIS entend renforcer la coopération entre les États membres afin de favoriser les échanges d’information et la mise en place d’une


coopération stratégique. La directive institue un réseau appelé “CSIRT” qui a pour objectif de promouvoir une coopération opérationnelle efficace en permettant notamment le partage d’informations sur les risques existant en matière de cybersécurité. En France, les opérateurs concernés par la directive auront l’obligation de déclarer à l’ANSSI toute attaque et intrusion dans leur système informatique. Ils devront le notifier, le cas échéant, aux personnes concernées par l’attaque.

Les réglementationsRéglementation sectorielleEn dehors des obligations qui découlent de la LPM de 2013, il existe de nombreux textes ou règlementations en vigueur pour les entités privées et publiques.

La protection des données

La loi de 1978 relative à l’informatique, aux fichiers et aux libertés définit les principes clés de la protection des données personnelles et impose aux utilisateurs de ces données l’obligation de garantir la sécurité du système d’information (article 34).

Ainsi, toutes les entreprises privées et institutions publiques traitant des données personnelles doivent mettre en œuvre toutes les mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données que le responsable du fichier a collecté et éviter leur divulgation à des tiers non autorisés. C’est à la CNIL qu’il revient de sanctionner le défaut de mise en place de sécurité suffisante.

Évolution majeure dans la protection des données en Europe : le RGPD

Le projet de règlement européen relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données a été adopté par le parlement européen le 14 avril 2016 après quatre ans d’âpres négociations. Il entrera en application en mai 2018 dans tous les pays membres de l’Union européenne.


Les obligations relatives à la sécurité des données seront ainsi renforcées : responsables de traitement et sous-traitants devront mettre en œuvre des mesures techniques et organisationnelles propres à assurer un degré de sécurité suffisant et en amont (obligation dite de « Privacy by design ») mais aussi réaliser des études d’impact lorsque l’utilisation de nouvelles technologies présente un risque pour les droits et libertés des individus concernés par la collecte des données. Enfin, le règlement applique à la charge du responsable de traitement et du sous-traitant une obligation de notification des failles de sécurité en cas de fuite de données.

Le règlement prévoit par ailleurs de lourdes sanctions. S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 2% jusqu’à 4% du chiffre d’affaires annuel mondial de l’entreprise, à 10 ou 20 millions d’euros pour les autres organismes.

Quid du Privacy Shield à l’heure des obligations européennes ?

Eléments de réponse avec Céline Castets-Renard, professeure à l’Université Toulouse-Capitole, membre junior de l’Institut Universitaire de France, spécialiste de droit du numérique et membre de la Réserve Citoyenne Cyberdéfense - Occitanie.

Déjà complexe, le mille-feuille juridique que représente le nouveau règlement européen est brouillé par la décision d’adéquation sur le Privacy Shield par la Commission européenne de l’été 2016. Le pacte de transfert de données commerciales avec les États-Unis qui remplace le Safe Harbor a en effet été adopté avec des réserves et des questions qui restent en suspens. Enfin, le Privacy Shield est fondé sur la précédente directive 95/46/CE, alors qu’elle vient d’être réformée par le règlement européen, plus protecteur !

Le 12 juillet 2016, la Commission européenne a donc rendu une décision d’adéquation du Privacy Shield, censée renforcer la protection, par exemple par l’obligation d’information des individus. Doivent être ainsi précisées, notamment, les données collectées, les finalités, l’existence d’un droit d’accès, l’existence d’un organe indépendant de résolution de litiges. Sont également reconnus les principes de nécessité et proportionnalité. Par ailleurs, le principe de transparence oblige les entreprises adhérentes à publier leurs engagements rendus contraignants et exécutoires par la


Federal Trade Commission (sect. 5 FTC Act) et les demandes d’accès des services américains de sécurité nationale conformément à l’assouplissement des règles du Patriot Act (2001), permis par le Freedom Act adopté en juin 2015. En outre, la lutte contre les auto-certifications frauduleuses va être renforcée par le DoC et la FTC. Quant aux données traitées à des fins de sécurité nationale, les services américains de renseignement se sont engagés à ne plus réaliser de collecte systématique des données. Enfin, le droit de recours des citoyens européens est amélioré par la transmission des plaintes des autorités nationales de contrôle de l’Union européenne au DoC et à la FTC, qui doivent effectuer des enquêtes et analyses et prononcer d’éventuelles sanctions en cas de manquement.

En matière commerciale, un mode alternatif de résolution des litiges sera gratuitement mis à la disposition des citoyens européens et, en matière de sécurité nationale, des requêtes pourront être formulées auprès d’un médiateur. Un mécanisme de réexamen commun annuel du fonctionnement de l’accord est prévu et la violation des règles peut entraîner la suspension du Privacy Shield.

Mais l’accord reste insuffisant et le G2913 a émis un avis réservé, ainsi que le commissaire européen à la protection des données. Le comité composé des représentants des États membres a approuvé l’accord, mais certains États se sont abstenus. D’importantes préoccupations demeurent concernant à la fois le volet commercial et l’accès par les autorités publiques américaines aux données transférées par l’Union européenne.

Le G29 regrette, par exemple, le manque de règles spécifiques pour les décisions automatisées et l’absence d’un droit d’opposition. Il aurait souhaité des garanties plus strictes concernant l’indépendance du médiateur et les pouvoirs qui lui sont accordés.

Dans ce contexte, chaque entreprise et chaque administration doit procéder à un état des lieux de la conformité en matière de protection des données à caractère personnel pour ensuite définir un plan d’action : actions de sensibilisation, revue et création de procédures, adaptation et accessibilité de l’information délivrée aux personnes, prise en compte du renforcement et des droits nouveaux reconnus aux personnes, définition d’une politique contractuelle

13 G29 : Organe consultatif qui réunit l'ensemble des "CNIL" européennes.


nouvelle pour encadrer les relations avec les sous-traitants, etc. Une réflexion doit également être engagée quant à la désignation d’un Data Protection Officer (DPO) – délégué à la protection des données à caractère personnel – érigé en maestro de la conformité par le règlement (DPO interne ou externe, profil, etc.). De cette manière, la logique de protection des données à caractère personnel et les obligations nouvelles prévues par le texte européen seront intégrées.

Garance Mathias, avocat, fondateur du cabinet Mathias avocats

Le secteur de la santé

Parmi les données personnelles qui sont aujourd’hui stockées, celles ayant trait aux informations liées à la santé, sont particulièrement sensibles et totalement confidentielles. Afin d’accompagner la dématérialisation des données de santé et de contribuer à une meilleure prise en charge des patients, il existe certaines obligations visant à assurer la disponibilité, l’intégrité, la confidentialité et la traçabilité de ces données. En France, si elles sont hébergées par un prestataire tiers, ce dernier doit être agréé par l’ASIP Santé selon article L111-8 du code de la santé publique (issu de loi du 4 mars 2002 relative aux droits des patients et modifié par la loi du 26 janvier 2016 de modernisation de notre système de santé). D’autre part pour contribuer à une meilleure prise en charge des patients et accélérer l’excellence numérique dans le secteur de la santé l’Etat a élaboré une Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) qui fixe le cadre de la sécurisation des systèmes d’information dans ce domaine. Ces bonnes pratiques font partie des socles de références à l’obtention de la qualité d’Hôpital Numérique.

Le secteur bancaire

Avec l’avènement du digital, le secteur financier connaît un accroissement du risque de fraude et de fuites de données. La sécurité des données bancaires repose sur le respect de normes dont principalement la PCI-DSS développée dans le but de renforcer la sécurité des données du titulaire et faciliter l’adoption de mesures de sécurité uniformes à l’échelle mondiale. Les douze clauses de la norme servent en effet de références techniques à toutes les entités impliquées dans le traitement des cartes de paiement.


En Europe, la directive des services de paiement DSP 2 (du 25 novembre 2015 abrogeant la DSP 1 de 2007) devra être transposée dans les droits nationaux avant le 13 janvier 2018. Cette directive entend accroitre la concurrence et l’innovation, préciser les conditions d’ouverture des systèmes d’informations bancaires et créer des obligations en matière de gestion des risques opérationnels et de sécurité.

Le secteur entreprise

Le règlement eIDAS (Electronic Identification ans Signature) instaure un cadre européen en matière d’identification électronique et de services de confiance afin de faciliter l’émergence du marché unique numérique. Ce règlement qui abroge la directive 1999/93/CE a été voté le 23 juillet 2014 et est applicable depuis le 1er juillet 2016.

Le secteur industriel

Pour beaucoup, les infrastructures industrielles sont vieillissantes et se mettent à l’heure de la digitalisation sans être équipée de façon adéquate.

En France, les sites industriels sont classés par niveau de risques (classe 1, 2 et 3). Si les infrastructures critiques sont soumises à la règlementation de la LPM, les autres infrastructures sont soumises à l’application de référentiels internationaux dédiés aux systèmes industriels en fonction du secteur : Standard ISA/IEC 62443 (standard dans le secteur industriel et nucléaire) ; normes ISO 27001 et ISO 27002 ; le guide technique de l’AIEA (AIEA Nuclear Security Series No. 17), les recommandations NIST 800-82 développées aux Etats-Unis pour assurer la sécurité des systèmes de contrôle industriels « ICS » (Industrial Control Systems).

Dans une optique volontariste, l’ANSSI a publié sur son site et mis à disposition un guide de la sécurité des systèmes industriels qui reprend ces règles de sécurité.


La qualification pour résister aux attaques La qualification est délivrée par l’ANSSI. Elle permet d’attester d’un certain niveau de sécurité et de confiance dans les produits et les prestataires de service répertoriés. Trois niveaux de qualification : élémentaire, standard et renforcé permettent de résister à des attaques de niveau croissant. La qualification est incontournable, structurante et offre des garanties de sécurité et de confiance aux acheteurs de produits ou de prestations de service. Le recours à des produits et des prestataires de services qualifiés est prévue par l’article 9 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives dans le cadre du Référentiel général de sécurité (RGS) et par la LPM. Afin de répondre à ces exigences générales un décret a été publié le 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale.

Des certifications, un gage de qualitéLes certifications, délivrées par l’ANSSI portent sur des produits de sécurité (matériels ou logiciels). Elle atteste de la conformité d’un produit de sécurité à un niveau de sécurité donné et une spécification technique. Cette cible de sécurité est elle-même certifiée conforme à un cahier des charges. Ce profil de protection permet d’exprimer des exigences de haut niveau et peut être partagé par une communauté d’intérêts telle que la communauté bancaire, celle de la santé ou du transport… La certification permet d’attester par une tierce partie indépendante et impartiale qu’un produit atteint, à un instant donné, un niveau de sécurité représenté par les services de sécurité qu’il offre et sa résistance à un niveau d’attaques donné. Selon les besoins de sécurité exprimés par des commanditaires d’évaluation et des donneurs d’ordres, le schéma français de certification offre deux types d’évaluation. La Certification de Sécurité de Premier Niveau est une


évaluation orientée tests d’intrusion plus que conformité. L’évaluation selon les Critères Communs permet quant à elle de certifier un produit selon des niveaux d’assurance de sécurité Evaluation Assurance Level très variés, allant de EAL1 (niveau d’attaquant faible, script kiddie) à EAL7 (niveau d’attaquant élevé), et prend également en compte la sécurité du développement.

Les accords de reconnaissance mutuelleIl existe deux niveaux d’accords : un très large géographiquement, le « CCRA », et par conséquent limitant fortement le niveau de reconnaissance mutuelle ainsi qu’un autre accord intra-européen, le « SOG-IS », qui concerne seulement 10 pays, ce qui permet de reconnaître des évaluations beaucoup plus poussées. Cette approche doit permettre d’obtenir un véritable périmètre européen où chaque membre reconnaît ce que font les autres. Dans un contexte de structuration d’un marché unique européen, cette dimension est indispensable et vouée à prendre de l’ampleur.

L’adoption du règlement européen eIDAS évoqué précédemment s’inscrit dans cette volonté de créer un espace commun et sécurisé. Les négociations pour la mise en place d’un Cloud sécurisé commun entre la France et l’Allemagne indiquent que la dimension européenne commence à être prise en compte par les pays européens. Une approche renforcée par les accords ECSO et le travail conjoint élaboré afin de présenter des critères communs franco-allemands.

03

FORCES ET CAPACITÉS DES ÉCOSYSTÈMES HEXATRUST ET SYSTEMATICPARIS-REGION


L’alliance HEXATRUST

Nous entendons tirer le meilleur profit des perspectives de croissance qui s’offrent à nous sur un marché de la cybersécurité de plus en plus actif. Les récentes opérations d’acquisition dans le secteur illustrent l’intérêt croissant pour des solutions logicielles innovantes capables de protéger les données sensibles des entreprises. De même, la présentation de la stratégie nationale pour la sécurité du numérique par le Premier ministre révèle une véritable prise de conscience de la part des pouvoirs publics alors même que les décrets d’application sur les OIV renforcent considérablement notre potentiel commercial en France et en Europe. Enfin, l’importance du marché du logiciel qui devrait peser près de 7 milliards en 2020 sur un marché mondial de 20 milliards est une information qui s’ajoute à tous ces éléments qui démontrent la dynamique de marché et nous confortent dans l’accélération de notre plan de marche.

Jean-Noël de Galzain, Président d’HEXATRUST et PDG de WALLIX Group

Le marché français de la cybersécurité est boosté par nombre de PME et ETI innovantes dotées d’un savoir-faire d’excellence. Des sociétés qui se regroupent pour offrir une réponse globale, une alternative crédible et innovante, répondant aux principales menaces et évolutions de l’ère digitale.

Réunies sous le nom d’HEXATRUST, aujourd’hui le plus gros pôle d’expertise technologique en matière de cybersécurité en France, ces entreprises représentent près de 130 millions d’euros (23% du chiffre d’affaires des membres étant en moyenne réalisé auprès du secteur public et 50% du chiffre d’affaires étant réalisé auprès des grands comptes) et cumulent le savoir-faire de près de 1 000 experts. Elles investissent près de 35 % de leur chiffre d’affaires en R&D.

Elément structurant de l’offre des membres de l’Alliance, les neuf solutions HEXATRUST offrent un panorama complet de la complémentarité des produits innovants de confiance développés par 30 éditeurs résilients et dynamiques.


Solutions de confiance globales interopérablesLe groupement HEXATRUST répond aux besoins des entreprises, des administrations et des organisations de toutes tailles, publiques et privées, soucieuses de bénéficier d’offres de solutions émergentes française, globales et interopérables, qualifiées et certifiées par l’ANSSI, couvrant l’ensemble de leurs besoins en matière de sécurité́ informatique.

Nous voulons bâtir avec les acteurs de la cybersécurité les conditions de l’indépendance et de la confiance numérique dans les entreprises et les administrations. C’est l’une des conditions d’une transition numérique durable au service des utilisateurs.

Jean-Noël de Galzain, Président d’HEXATRUST et PDG de WALLIX Group

Sécurisation de la messagerieLes messageries représentent l’un des actifs les plus importants du système d’information. Elles constituent un moyen primordial de collaboration, dont l’arrêt risque de paralyser toute activité. En outre, elles véhiculent et hébergent des données parfois très sensibles. Prévenir d’éventuelles attaques et s’en protéger est capital. La diversité des systèmes de messageries, leurs liens avec le système d’information (portails, cloud, collaboration, etc.), avec les médias sociaux et les autres systèmes de sécurité (gestion des identités et des accès, gouvernance, confidentialité, sécurisation des flux mobiles, etc.) rend leur sécurisation particulièrement complexe.

Pour assurer une protection de la messagerie, les membres d’HEXATRUST proposent une réponse globale basée sur l’analyse comportementale et contextuelle des vulnérabilités et des menaces qui affectent les systèmes de messagerie. Les solutions proposées protègent les entreprises de l’usurpation d’identité, de l’interception et duplication de flux ainsi que des contenus malveillants dans les flux entrants et sortants. Elles gèrent les comptes à privilèges, l’utilisation des listes de diffusion et l’utilisation abusive des boîtes de messagerie. Elles analysent de manière exhaustive les flux de mails entrants et sortants afin de détecter en temps réel et rétrospectivement les malware, phishing, spam et mails commerciaux, le vol de données et les attaques sur les terminaux clients.


Les membres d’HEXATRUST se positionnent comme fournisseurs de solutions de haut niveau pour sécuriser chacun des maillons de la chaîne de confiance des systèmes de messageries. Les solutions proposées ont l’avantage d’une capacité de détection renforcées permettant à l’utilisateur d’agir avant que l’attaque soit effective. Enfin, l’intervention humaine étant le premier vecteur de vulnérabilité, l’analyse que propose HEXATRUST permet de comprendre l’impact des actions humaines dans la complexité inhérente aux systèmes digitaux.

L’offre HEXATRUST rassemble les acteurs de la sécurité email permettant d’avoir une protection complète bout en bout allant de la sécurisation des flux par leur filtrage, le cryptage des flux, jusqu’à la détection des failles de confidentialité sur les comptes emails. En effet, la solution Vade Secure propose une protection avancée contre les menaces de tout ordre avec une efficacité reconnue sur le Phishing, le Spear Phishing et également le malware de type Ransomware et autre. Cette solution peut être déployée sous forme Gateway ou Cloud. Elle permet un filtrage respectant les contraintes de sécurité et confidentialité grâce à un traitement des données hébergées à 100% au sein de datacenters français.

La GreenBow CryptoMailer permet d’opérer un cryptage des emails d'utilisateurs à utilisateurs afin de s’assurer qu’aucune attaque de type “man-in-the-middle” (individus interceptant la connexion entre machines et accédant au contenu des emails) ne puisse être possible entre les communications de l’entreprise et ses partenaires extérieurs.

La solution IDECSI propose une analyse en temps réel de l’activité des comptes emails afin de détecter tout comportement suspect assimilable à un cas de piratage de boîte aux lettres. Elle agit de manière préventive avec un diagnostic complet afin de sécuriser les accès au maximum puis opère une protection en temps réel.

Ces solutions cohabitent au sein d'un même environnement informatique d’entreprise. Chaque solution est fonctionnellement indépendante de même que dans leur implémentation, mais elles sont parfaitement complémentaires offrant une protection de bout en bout.

Olfeo fournit par ailleurs une solution de sécurisation web et filtrage d’URL, avec qui l’interopérabilité peut se matérialiser par un échange


d’informations. En effet, les emails contiennent de nombreux URL, pouvant mener vers un site de phishing ou d’injection de malware. L’échange d’informations sur les URL permet d’améliorer l’acuité réciproque des deux solutions Olfeo et Vade Secure.

Georges Lotigier, Président directeur général de Vade-Secure

Membres HEXATRUST : IDECSI, VadeSecure, Brainwave, Denyall, InWebo Technologies, ITrust, NEOWAVE, Prim'x, TheGreenBow

Gouvernance, traçabilité et auditLes systèmes de cybersécurité se sont renforcés pour protéger les entreprises confrontées à des menaces protéiformes et en croissance constante. Ces systèmes ont besoin de gouvernance pour être gérés efficacement. L'audit et la traçabilité doivent être renforcés à mesure que la sous-traitance se développe, et que les régulations et les problématiques juridiques et métiers s’intensifient.

Les solutions proposées sur le marché demeurent, soit très incomplètes, soit lourdes et complexes à mettre en œuvre et donc peu adaptées aux contraintes des entreprises en contact avec le numérique.

L’entendue de l’offre d’HEXATRUST permet d’offrir une vision globale sur les problématiques de gouvernance, de traçabilité et d’audit, qui concerne :

Le contrôle et l’analyse des droits, la gestion des exceptions et les actions curatives

La gestion des utilisateurs à privilèges, leur traçabilité, et la gestion de leurs droits d’accèsLa sécurisation métier autour de la gestion des contratsLa gestion de la protection des applications (accès, permissions, rôles)Les Segregations Of Duties (SOD)Les réseaux industriels


Ces solutions d’HEXATRUST, innovantes et pointues, offrent de nombreux avantages. Elles sont non intrusives, faciles à mettre en œuvre et s’intègrent facilement aux plateformes de gouvernance déjà en place et souvent trop lourdes d’utilisation.

Les solutions « Best of Breed » offrent une souplesse importante et s’adaptent à des entités plus petites, que ce soit des PME ou des filiales de grands groupes, qui ont tout autant besoin de fonctions de gouvernance que les grands comptes mais avec de plus grandes contraintes budgétaires.

L’utilisation de l’analyse comportementale est à l’heure actuelle, le moyen le plus efficace pour juguler la complexification des problématiques de gouvernance, de traçabilité et d’audit qu’entrainent la digitalisation de l’économie et la croissance exponentielle des attaques et de leur dangerosité.

La pression croissante des réglementations ainsi que la mise en œuvre de Système de Management de la Sécurité de l'Information (SMSI) impliquent pour le Responsable de la Sécurité des Systèmes d'Information (RSSI) de sortir d'une approche traditionnelle de sécurité en silo pour basculer vers une approche de cockpit de pilotage. Il s'agit d'obtenir une vision holistique de la situation et de l'état de santé de la sécurité du SI ainsi que de quantifier les risques associés. Les solutions de gouvernance d'HEXATRUST telles que Brainwave s'appuient sur les données des autres solutions telles que IDECSI, Ilex, Novalis ou WALLIX Group afin d'obtenir cette vision : qui a accès à quoi, qui a fait quoi, les comptes d'accès sont-ils tous légitimes ? Au final, la sécurité des systèmes est renforcée : le RSSI ayant l'assurance que les données relatives aux droits et aux accès sont toutes revues et analysées.

Sébastien FAIVRE, CTO, General Manager BRAINWAVE

Membres HEXATRUST : Brainwave, CDC Arkhinéo, IDECSI, Ilex International, Netheos, Novalys, Olfeo, Sentryo, Wallix Group


Sécurisation des transactionsLa sécurisation des transactions est la base de la transformation numérique d’une entreprise ou d’une administration. Celle-ci ne pourra se réaliser sans avoir obtenu la confiance digitale de leurs métiers, de leurs fournisseurs et de leurs clients. Les attaques qui touchent les transactions électroniques sont essentiellement de nature frauduleuse et menées dans un but financier : les compromissions de données, le déni de services (et demande de rançon), les transactions frauduleuses, l’usurpation d’identité ou le vol de données. Face à la vulnérabilité du secteur financier, de nombreuses règlementations nationales, européennes ou sectorielles encadrent la sécurisation des transactions. L’approche HEXATRUST assure une sécurisation complète couvrant l’ensemble du cycle des transactions en ligne sans les ralentir. Parallèlement aux solutions de base telles que la gestion des identités et l’authentification forte, la vérification contractuelle, la signature électronique, les "Public Key Infrastructure" (PKI) et le paiement, HEXATRUST propose également des fonctions différentiantes comme la sécurisation des terminaux, de leur applications et de leur interactions, la sécurisation des applications web et flux XML, la vérification ou la réputation des sites et des applications, et la détection des fraudes. Les solutions d’HEXATRUST embarquent des technologies contextuelles et comportementales qui permettent de cibler précisément les vulnérabilités et les facteurs de risques. Elles tirent parti de l’intelligence artificielle dopée par les capacités de calcul et d’analyse du Cloud computing. Enfin, la complexification des écosystèmes transactionnels, couplée à la diversité, la puissance et la croissance des attaques, rendent les systèmes de cybersécurité « traditionnels » soit dépassés, soit trop pénalisants pour l’activité métier des entreprises et des administrations.

DenyAll assure la sécurité des transactions Web en identifiant l'utilisateur, contrôlant sa réputation et en bloquant les flux entrants contenant des attaques. Les solutions des autres membres d'HEXATRUST sont complémentaires, par exemple, en se couplant à InWebo, l'utilisateur pourra bénéficier d'une authentification multi-facteurs, les transactions pourront être authentifiées par des certificats émis par IDnomic et les flux sortant seront filtrés par les solutions d'Olfeo.

Jacques Sébag, PDG de Denyall

Membres HEXATRUST : Denyall, CDC Arkhinéo, Netheos, Ozon, Brainwave, Ilex International, InWebo Technologies, ITrust, NEOWAVE, Olfeo, Pradeo


Chiffrement et confidentialitéDans la plupart des secteurs (banque, défense, services publics, e-commerce, etc.) les informations constituent un capital crucial qu’il s’agisse d’informations clients/administrés, industrielles ou encore financières. Leur confidentialité est, par conséquent, critique pour la pérennité des organisations et exigée de surcroit par les réglementations nationales, européennes, internationales ou sectorielles.

L’économie numérique déplace hors de l’entreprise la gestion d’une partie des informations critiques et entraine des échanges de données à la fois toujours plus nombreux et sur des terminaux de plus en plus variés. Dès lors, il est indispensable de garantir qu’une information volée ou perdue demeure inintelligible pour toute personne qui ne doit pas y avoir accès. La confidentialité des données est donc un des fondements clés de la cybersécurité.

Avec l’intensification et la sophistication des attaques, les entreprises ont des besoins de cryptage sur tous les terminaux et sur tous les moyens de communication entre ces terminaux. Une gestion complète de la confidentialité proposant une offre sans aucune rupture dans la chaine de confiance est donc nécessaire. Les offres d’HEXATRUST couvrent l’ensemble des besoins en cryptage et peuvent protéger tous types de terminaux, les VMs, les flux données, exécution, le stockage, ainsi que la voix. Ce niveau de confidentialité des informations peut être renforcé à l’aide d’une clé physique.

Les offres des membres d’HEXATRUST présentent plusieurs avantages :

Elles sont modulaires permettant de choisir les différents équipements à protéger, en fonction de leur exposition, des informations qu’ils hébergent et de la criticité des processus auxquels ils participent.

Elles sont à la fois faciles d’utilisation et simples à mettre en place et à intégrer dans l’existant.

Les membres d’HEXATRUST se différencient de par leur origine européenne et leurs solutions certifiées et qualifiées. La criticité de l’utilisation des solutions de confidentialité rend ces deux points déterminants dans le choix d’une solution.


Les outils de chiffrement, quels que soient leur nature - chiffrement des données (Prim'X), des flux (TheGreenBow), de la voix (Ercom) -, doivent pouvoir s’appuyer sur les mécanismes d’authentification forte (inWebo), utiliser les certificats émis par la PKI (IDnomic), y accéder s’ils sont stockés dans des supports physiques (Neowave)… Les différents membres d’HEXATRUST qui proposent des outils qui traitent du chiffrement et de la confidentialité s’attachent donc à s’assurer que leurs solutions inter-opèrent et coopèrent afin de fournir le meilleur service aux clients.

Serge Binet, PDG de Prim’X

Membres HEXATRUST : Prim'X, TheGreenBow, Bertin IT, Ercom, InWebo Technologies, IDnomic, NEOWAVE

Sécurisation des systèmes industrielsSecteur sujet à des contraintes spécifiques et souvent détaché des systèmes d’informations corporate, l’internet industriel subit pourtant sa propre révolution grâce à la digitalisation et à l’émergence de l’internet industriel des objets, ce qui implique une préoccupation majeure pour les acteurs de l’industrie, des grandes infrastructures publiques et les opérateurs d’importance vitale.

Toutefois la digitalisation de l’industrie s’accompagne d’une multiplication des facteurs de vulnérabilité et d’une augmentation de la fréquence des attaques, sans compter l’impact que peuvent avoir ces dernières sur des infrastructures critiques indispensables au fonctionnement d’une nation. Un durcissement de la réglementation dans le domaine est venu répondre à ces préoccupations tout en permettant une véritable prise de conscience pour les acteurs de l’industrie.

Le principal challenge dans le domaine demeure le manque de visibilité des entreprises sur leurs réseaux industriels, ce qui empêche de prévoir une réponse en temps réel aux attaques. Il est donc nécessaire d’assurer une supervision globale des modules et de leurs interactions afin de détecter les comportements anormaux.

La compartimentation est également un élément fondamental afin d’éviter


la contagion entre les différents modules du réseau SCADA et de réduire la surface d’attaque. Le contrôle et la traçabilité des personnels exploitants et des prestataires extérieurs intervenant au cœur du réseau SCADA est également déterminant afin de se prémunir de la menace interne, d’origine malveillante ou involontaire.

La protection des systèmes de contrôle industriel (SCADA/ICS) vise en priorité à maintenir l’intégrité du réseau de contrôle commande et la disponibilité du système industriel lui-même. Les solutions proposées par les membres d’HEXATRUST adressent les différentes composantes de cette protection :

• La segmentation des réseaux avec Seclab ou Bertin qui proposent des solutions de segmentation réseau ou de protection USB allant de la protection quasi-physique (électronique) pour les éléments les plus critiques à des solutions plus souples basées sur du logiciel

• La surveillance du système de contrôle industriel avec Sentryo qui au travers d’une approche passive permet de donner de la visibilité sur ce qui se passe réellement sur le système, de tracer tous les événements et de détecter les comportements à risque.

• La gestion et le contrôle des différents administrateurs qui interviennent sur le système avec WALLIX Group (gestion des comptes à privilège) permettant ainsi de contrôler finement les accès.

Thierry Rouquet – Président-Fondateur de Sentryo

Membres HEXATRUST : Bertin IT, Egidium Technologies, Seclab, Sentryo, WALLIX Group

Protection des flux mobiles et webL’économie numérique est caractérisée par les échanges et donc par les flux entres les acteurs qui composent son écosystème. L’accroissement exponentiel de ces flux couplé à la multiplication des points d’accès, représentent autant de vulnérabilités exploitables par les attaquants. Afin de lier mobilité, ouverture et fluidité à la réussite de l’économie numérique, il est indispensable de disposer d’outils de protection et de filtrage. Une organisation non sensibilisée aux menaces inhérentes à la protection des flux web et mobile s’expose à des fuites d’informations, à des fraudes


ou à du rançonnage, en plus d’une perte de confiance et une atteinte à son image de marque vis-à-vis de ses partenaires et de ses clients. En proposant des produits innovants centrés autour de l’analyse contextuelle et comportementale, les membres d’HEXATRUST proposent une réponse complète aux besoins des organismes publics et privés. Au-delà de la protection des points d’accès et de l'authentification formelle des utilisateurs, il est nécessaire de filtrer les flux et d’analyser leur contenu, que ce soit pour les flux entrants (malware et accès malveillants) ou les flux sortants (fuite d’informations sensibles, accès à des contenus illégaux ou non-autorisés). Cette approche permet de rester en conformité avec les politiques internes à l’organisation ainsi que les réglementations en vigueur.

Les solutions d’HEXATRUST permettent également de chiffrer les flux web (VPN, etc.) et mobiles (voix et sms) ainsi qu’un contrôle du comportement des applications mobiles, qui sont susceptibles de manipuler les données à l’insu de leurs utilisateurs. Une nécessité renforcée avec le développement des objets connectés et du cloud.

L’adoption rapide et massive des smartphones et tablettes par les entreprises ont contraint ces dernières à faire face à une extrême mobilité et connectivité à travers le web et ont observé en parallèle une convergence des usages de leurs utilisateurs concentrés sur ces nouveaux terminaux. Cette situation oblige les sociétés de sécurité à tendre vers des intégrations techniques de sorte à simplifier la gestion de la sécurité des flottes mobiles de leurs clients. Les sociétés d’HEXATRUST en sont pleinement conscientes. C’est pourquoi, autour du sujet de la sécurité des applications mobiles utilisées sur ces terminaux que porte Pradeo, nous recommandons par exemple les solutions d’Ercom pour les besoins de cryptage des communications ou celles d’Olféo pour le filtrage de la navigation web.

Clément SAAD, Chief Executive Officer & Founder Pradéo

Membres HEXATRUST : Ercom, Olfeo, Pradeo, Denyall, InWebo Technologies, ITrust, TheGreenBow


Gestion des identités et des accèsLa gestion des identités et des accès, une brique sécuritaire cruciale des systèmes d’information corporate et industriels, a subi un renouveau avec l’arrivée de la digitalisation et des SMAC (Social, Mobile, Analytics, Cloud).

La transformation digitale a donné un nouveau souffle à une approche déjà bien intégrée dans les feuilles de route des directeurs de la sécurité informatique. Elle a profondément modifié le fonctionnement des organisations privées et publiques en les rendant agiles et étendues mais également plus composites et complexes (multiplication des identités numériques et des moyens d’accès).

Considéré comme la deuxième priorité des entreprises en matière de cybersécurité, ce segment de la cartographie HEXATRUST est directement lié à d’autres préoccupations telles le chiffrement et la confidentialité, la sécurisation des objets connectés mais surtout la gouvernance, la traçabilité et l’audit. Il nécessite également une attention toute particulière en matière de conformité réglementaire et ce tous secteurs confondus, en France et à l’étranger.

Les membres d’HEXATRUST répondent à cette problématique en proposant quatre principales fonctions : la gestion des identités et des habilitations, l’authentification forte et le contrôle d’accès, le single sign-on et la fédération d’identités ainsi que la gestion des comptes à privilèges. Tout en se positionnement sur la protection contre les menaces classiques et nouvelles, les membres d’HEXATRUST proposent dans le domaine une démarche unifiée et complémentaire, ce qui leur permet d’offrir une couverture globale de proximité avec leurs utilisateurs locaux.

De par ses valeurs, « Innovation, Union, Action », HEXATRUST facilite les échanges et favorise les synergies. Les solutions de gestion d’identités et des accès sont ainsi parfaitement interopérables et complémentaires. Cette complémentarité permet d’offrir aux organisations une couverture globale et exhaustive du sujet. Chaque membre propose une expertise de pointe qui s’articule autour de quatre fonctions principales : gestion des identités et des habilitations, authentification forte et contrôle d’accès, single Sign-On et fédération d’identités, gestion des comptes à privilèges.

Laurent Gautier, PDG Ilex International


Membres HEXATRUST : IDnomic, Ilex International, InWebo Technologies, Novalys, WALLIX Group, Brainwave, Denyall, IDECSI, NEOWAVE, Netheos, TheGreenBow

Prévention contre la fuite de donnéesFace à l’essor du Cloud et des outils de Big Data qui externalisent l’hébergement et le traitement des données, la prévention de la fuite de données est une action de plus en plus difficile.

La fuite de données constitue aujourd’hui le premier risque pour un organisme public ou privé. Au-delà des risques encourus par une société et ses collaborateurs sur le plan économique et réputationnel, la perte ou le vol de données expose également les partenaires, les clients et les usagers des services de cette société, ce qui peut mettre en cause sa responsabilité juridique. La prévention de la fuite de données est un segment transversal de la cartographie HEXATRUST en ce qu’elle reste intimement liée à de nombreux autres domaines comme le chiffrement et la confidentialité, la protection de la messagerie ou encore la gestion des identités et des accès.

Les membres d’HEXATRUST adressent les différents risques principaux du domaine : vol et perte de terminal, compromission de poste (APT, etc.), usurpation d’identité, légitimité des accès/identités & classification des données (sensibilité, comportement anormal d’un utilisateur et ou d’une application (volontaire ou involontaire), erreur humaine (partage excessif dans les applications cloud). Cette protection passe par un triptyque « prévention, détection, correction » tout en tenant compte de la dimension humaine de la fuite de données.

Ainsi l’analyse comportementale est l’un des piliers proposés par les solutions innovantes des membres d’HEXATRUST :

classification et déduction automatique de la sensibilité des données

analyse des canaux et des applications qui les utilisent sur le terminal

évaluation du comportement des applications mobiles


contrôle des flux sortants et de leur conformité aux réglementations

cartographie et analyse du comportement des accès et des usages

analyse du comportement des utilisateurs

Les solutions des entreprises d'HEXATRUST couvrent l'ensemble de la problématique de prévention de la perte des données. Vol, espionnage économique, usurpation d'identité, droit d'en connaitre, compromission de poste, comportement anormal, les risques sont nombreux. Les solutions HEXATRUST proposent d'apporter des réponses pragmatiques complémentaires qui passent par de l'analyse comportementale de signaux faibles précurseurs d'attaques évoluées de type APT, à la protection des applications contre les attaques directes, la surveillance des messagerie afin de lutter contre le phishing, le filtrage des réseaux et routages inter VM, la gestions des droits d'accès, l'intégrité par archivage des données. Ces solutions sont interopérables et apportent une garantie importante de protection des données et une protection du SI. L'ensemble des besoins client est couvert par les solutions interopérables HEXATRUST.

Jean-Nicolas Piotrowski, President ITrust

Membres HEXATRUST : Itrust, Bertin IT, Brainwave, CDC Arkhinéo, Denyall, Olféo, Pradeo, VadeSecure, WALLIX Group

Sécurisation des objets connectésLa prolifération des objets connectés et le volume d’informations générés par ces derniers imposent de repenser la capacité de ces systèmes à résister aux risques cyber : le développement d’un monde ultra-connecté offre pour des groupes malveillants de multiples possibilités d’exploiter les défaillances technologiques.

L’internet des objets se déploie aujourd’hui dans de nombreux secteurs comme le transport, les télécommunications, l’énergie, l’industrie ou encore la santé et fait appel aux concepts qui façonnent nos sociétés de demain : Smart Grids, Smart Industries, Smart Cities, Smart Homes…


Si la fuite de données génère des craintes, ce n’est, pour autant, pas le seul risque pressenti par l’utilisation d’objets connectés. En effet, tous ces objets directement connectés à un réseau Internet sont ainsi plus vulnérables aux différentes attaques : vol d’informations, prise en main de l’appareil à distance, modification des données et du contenu, etc.

Ainsi, au regard des performances escomptées de ces « Smart objects », la protection des données et de la vie privée, la sureté de fonctionnement, tout comme la protection des biens et des personnes dans cet environnement ultraconnecté et potentiellement hostile, sont désormais indispensables et incontournables.

Les solutions des PME membres d’HEXATRUST apportent une réponse complète aux enjeux de la sécurité des objets connectés. Fort de leur expertise dans le domaine, un travail constant est fourni afin d’adapter les solutions aux besoins des utilisateurs tout en conciliant une approche dite de « security by design » et de surveillance active des réseaux.

Pour déployer en toute sécurité des dispositifs IoT, les entreprises devront donc mettre en place des stratégies de sécurité de bout en bout auxquelles les membres d’HEXATRUST assurent une couverture globale : sécurisation des systèmes embarqués (OS) de l’objet connecté « by design » ; secure boot, gestion des firmwares et des cycles de vie des logiciels ; authentification forte des utilisateurs ; gestion des identités ; chiffrement des flux des données en transit, des réseaux, des communications ; firewall, filtrage, traçabilité et enfin surveillance des réseaux.

Membres HEXATRUST : Denyall, IDnomic, InWebo, Olféo, Prove&Run, Sentryo, WALLIX Group


Le pôle SYSTEMATIC PARIS-REGION

Qu’est-ce qu’un pôle de compétitivité ?Les pôles de compétitivité14 ont été créés en 2004 pour mobiliser les facteurs clefs de la compétitivité, au premier rang desquels figure la capacité d'innovation, et pour développer la croissance et l'emploi sur les marchés porteurs.

Un pôle de compétitivité rassemble, sur un territoire donné et sur une thématique ciblée, des entreprises, petites et grandes, des laboratoires de recherche et des établissements de formation. L’Etat et les collectivités locales sont étroitement associés à cette dynamique.

Un pôle de compétitivité a vocation à soutenir l'innovation. Il favorise le développement de projets collaboratifs de recherche et développement (R&D) particulièrement innovants. Il accompagne également le développement et la croissance de ses entreprises membres grâce, notamment, à la mise sur le marché de nouveaux produits, services ou procédés issus des résultats des projets d’innovation. En permettant aux entreprises impliquées de prendre une position de premier plan sur leurs marchés en France et à l’international, les pôles de compétitivités sont des moteurs de croissance et d’emplois.

Un pôle de compétitivité repose sur un ancrage territorial, fort, ici l'Île-de-France, tout en s’appuyant sur les structures existantes (tissu industriel, campus, infrastructures collectives, etc.). Le recours à une politique foncière et de développement urbain propre à assurer un développement cohérent du tissu industriel, à des capacités de recherche publique et à des établissements d’enseignement supérieur, sont des facteurs positifs de développement du pôle de compétitivité et du potentiel de ses membres.

Le dispositif des pôles de compétitivité a été complété en 2011 par celui des Instituts de Recherche Technologique (IRT). Suite à l’appel à propositions lancé dans le cadre du programme d’investissement, huit instituts de

14 Voir competitivite.gouv.fr/

http://competitivite.gouv.fr/


recherche technologique ont été créés pour renforcer l’attractivité du territoire au moyen d’une innovation flexible, ouverte et collective.

Systematic Paris-RegionSYSTEMATIC PARIS-REGION fédère en Île-de-France plus de 800 acteurs d’un écosystème d’excellence pour accélérer l’innovation et la croissance des entreprises : grands groupes industriels (+ de 150), PME innovantes (+ de 460), jeunes pousses, organismes scientifiques (+ de 140), investisseurs, collectivités.

Ensemble, ces acteurs partagent les enjeux et exploitent les opportunités que représente la transformation numérique. Ils coopèrent au développement du cœur technologique du pôle, le logiciel et le numérique et les technologies-clés associées, et à sa mise en œuvre au service de huit marchés industriels de forte croissance.

Depuis sa création, plus de 540 projets d’innovation collaborative ont été engagés par ses membres pour développer des nouveaux produits et services à base de numérique dans ces secteurs industriels, représentant plus de 2,8 Mds € d’investissement de R&D, dont 2/3 de financement privé. De même, plus de 650 produits innovants ont été mis sur le marché.

L’ensemble des innovations portées par les projets et valorisées par les produits du pôle SYSTEMATIC PARIS-REGION forme un socle


technologique d’une ampleur sans d’équivalent en Europe. Structuré en 6 technologies-clés complémentaires, il rassemble les bases techniques constitutives nécessaires au développement des équipements et systèmes numériques complexes dans les domaines de l’Internet des Objets, de l’Industrie 4.0, de la sécurité, de l’ingénierie et des infrastructures numériques.

SYSTEMATIC PARIS-REGION conduit par ailleurs une politique active de soutien à ses membres PME, avec pour résultat une croissance du chiffre d’affaire des PME du pôle deux fois plus forte que celle de la moyenne nationale.


Le Groupe thématique Confiance Numérique & Sécurité de SYSTEMATICDès sa création, la sécurité a constitué une thématique prioritaire du pôle. Le pilotage et l’animation en sont assurés par un Groupe Thématique (GT) dédié, le GT « Confiance Numérique & Sécurité (CNS) » qui porte une vision dans laquelle sont traités globalement les enjeux de sécurité, qu’il s’agisse de menaces physiques ou de menaces numériques.

Comme le rappelle Jean-Pierre Tual, son Président :

Le Groupe Thématique Confiance Numérique & Sécurité rassemble aujourd’hui une capacité de R&D organisée et focalisée sur les enjeux de sécurité sans équivalent en France et, à notre connaissance, en Europe.

Réunissant 61 grands groupes ou ETI, 110 PME et 40 organismes de recherche, il a lancé depuis la création du pôle 88 projets de recherche pour un montant cumulé d’investissement de R&D de 398 M€, partagé également entre les enjeux de la sécurité physique et ceux de la cybersécurité.

La feuille de route du Groupe thématique "Confiance Numérique & Sécurité"

La feuille de route du Groupe thématique exprime sa vision en matière d’enjeux et de priorités de recherche et innovation. Elle est structurée en deux niveaux :

Les 9 principaux secteurs d’activités concernés par la cybersécurité avec, pour chaque secteur, l’identification de ses enjeux spécifiques, illustrés ici pour le secteur de l’Industrie 4.0


Grandsévènements

Infrastructurescritiques

Ville et

TerritoireNumérique

Finance /Délégataires d’autorités publiques

Industrie4.0 Transports

Entreprise IT Entertainement

Santé

Énergieet

Utilities

Industrie 4.0

- Infrastructure locale (C2, réseaux, capteurs & activateurs)- Migration de l’existant- Utilisation de consommables / Cots- Support de maintenance à distance / Télé opération lien avec virtuel- Objets connectés et réseaux WL- Automatisation flux matière- Sécurité manufacturing additif (gestion licences, intégrités des datas, confidentialité datas)- Traitement dans le cloud- Continuité IT / OT (inclus de risques)


Le socle technologique commun à l’ensemble de ces secteurs :

SOCLE DE CONFIANCE

Security as a service x x x x x x x

Analytics for Security

x x x x x x x x

SOC x x x x x x x x

Software Defined Security (detection, confinement, remediation, reinforcement)

x x x x x x x x

Data security and privacy (Data life cycle, data security on privacy, multi-party computation, ...)

x x x x x x x x x

Confiance and supply chain (Hardware/software/service)

x x x x x x x

Sécurité des systèmes distribués et pervasifs/ambiants/omniprésents (IoT, FOG, blockchain,...)

x x x x x x

Crypto (post quantique, light crypto, homomorphe,...)

x x x x x x x

Authent / identification / droits... des personnes / objets

x x x x x x x x x

Gds

évé

nem

ents

/

Fina

nces

/ Dé

léga

taire

s

Ville

/ te

rrito

ire

Ener

gie

&

Indu

strie

4.0

Tran

spor

tsSa

nté

Entre

prise

s IT

OIV

d'au

torit

és p

ubliq

ues

Ente

rtain

emen

t

num

ériq

ue

Utilit

ies


Comme pour l’ensemble des thématiques de SYSTEMATIC PARIS-REGION, les projets d’innovation ont avant tout pour objectifs la mise rapide sur le marché de produits innovants et la croissance des entreprises.

A l’issue des projets engagés par les membres du Groupe Thématique « Confiance Numérique & Sécurité », plus de 25 produits innovants ont été développés et commercialisés avec succès et de nombreuses PME se sont vues décerner le label « Champions du pôle » qui reconnait leur situation d’hypercroissance.

Plusieurs exemples de ces succès menant de « l’Usine à Projets » du Pôle vers son « Usine à Produits » sont présentés ci-dessous.

Success Stories

CS : TrustyBox® apporte une solution de sécurité centralisée, rapide à déployer et facile à opérer. TrustyBox® offre une palette complète de services de confiance numérique sur une plateforme évolutive, tels par exemple la signature électronique personnelle avec cachet serveur, la vérification et l’enrichissement de la signature électronique, l’horodatage certifié de données, le chiffrement et déchiffrement de documents, la validation de certificats électroniques, l’archivage à valeur probatoire sur le long terme www.c-s.fr

CityPassenger : la société a développé le produit Mobile-IT Quantum (en partenariat avec la société SeQureNet et l’Institut Télécom Paris Tech), qui propose un protocole de gestion de clefs cryptographiques interfacé à un protocole de distribution quantique (CVQKD) permettant d’assurer un haut-niveau de sécurité dans les réseaux à très haut-débit (plusieurs Gb/s) et sur de très grandes distances (réseaux optiques par exemple) www.citypassenger.com/?lang=fr

Secure-IC (Trusted Security IP Cores) : Secure-IC est un fournisseur de technologies de protection des systèmes électroniques embarqués (tels que le téléphone mobile, la carte bancaire…) vis-à-vis d'attaques malveillantes et de menaces cyber. L’entreprise est experte en cybersécurité, elle produit les technologies les plus à l’état de l’art pour l'évaluation de la vulnérabilité des systèmes embarqués et tout un ensemble d’ « IP-Cores » (sous-ensembles électroniques dont la réutilisation pour fabriquer de nouveaux circuits intégrés est protégée par les règles de

http://www.c-s.fr/

http://www.citypassenger.com/?lang=fr


la propriété intellectuelle), proposant les contre-mesures de protection des composants électroniques contre les attaques les plus avancées. www.secure-ic.com

SafeRiver : SafeRiver est une société de conseil spécialisée en sûreté de fonctionnement et en cybersécurité des systèmes à logiciel prépondérant. La société propose des démarches et des composants méthodologiques permettant d'atteindre un haut niveau de confiance et à moindre coût lors de la conception et de la validation de ces systèmes ; elle a aussi développé des outils permettant la sécurisation d’architectures logicielles, la vérification de modèles de systèmes temps réel critiques, le traitement et l’optimisation des modèles de systèmes complexes, la preuve de propriétés de sécurité de code par des méthodes formelles. www.saferiver.fr

Prove & Run : Prove & Run est un éditeur de logiciels destinés à protéger les systèmes connectés contre les cyber-attaques. La société a mis au point une technologie à base de méthodes formelles permettant de développer à des coûts industriels des composants complexes (systèmes d’exploitation, hyperviseurs) formellement prouvés et certifiables au plus haut niveau d’assurance, qui doivent être utilisés pour protéger les systèmes industriels et objets connectés contre les attaques à distance. Le système d’exploitation de sécurité Provencore de Prove & Run est en cours d’évaluation sécuritaire avec un objectif de certification EAL7+. Ce niveau d’évaluation n’a jamais été atteint en dehors de la carte à puces et serait donc une première mondiale. www.provenrun.com

L’Institut de Recherche Technologique SystemX

En 2011, SYSTEMATIC PARIS-REGION et plusieurs établissements d’enseignement supérieur et de recherche du Plateau de Saclay se sont associés pour répondre à l’appel à propositions d’Institut de Recherche Technologique (IRT) lancé dans le cadre du programme d’investissement d’avenir. Labellisé le 1er février 2012, SystemX rassemble aujourd’hui 61 partenaires industriels, 14 partenaires académiques, 82 chercheurs et 34 doctorants.

Comme SYSTEMATIC PARIS-REGION, SystemX se positionne en accélérateur de la transformation numérique. SYSTEMATIC PARIS-REGION et SystemX interviennent dans ce contexte de façons complémentaires :

http://www.secure-ic.com/

http://www.saferiver.fr/

http://www.provenrun.com/


SYSTEMATIC est un moteur d’innovation coopérative autour des technologies du logiciel et du numérique, innovation réalisée par ses membres que le pôle accompagne dans leur développement et leur croissance ;

SystemX est un centre de recherche technologique en propre, centré sur l’ingénierie numérique des systèmes, en réponse aux défis que rencontrent les industriels dans les phases de conception, de modélisation, de simulation et d’expérimentation de produits et services futurs à fort contenu numérique.

L’activité de recherche de SystemX comporte 17 projets de recherche organisés en quatre programmes de recherche :

Ingénierie système

Transports autonomes

Territoires intelligents

Internet de confiance

Le programme "Internet de Confiance" de l’IRT SystemX

Gilles Desoblin, directeur du programme « Internet de confiance » de l’IRT SystemX, présente les objectifs et le contenu technologique de ce programme.

Pourquoi un projet autour de la Cybersécurité à l’IRT SystemX ?

L'objectif du Plan « Cybersécurité » de la « Nouvelle France Industrielle » placé sous le pilotage de l’ANSSI, le développement du marché de la cybersécurité repose à la fois sur des avancées dans l’ingénierie des systèmes complexes et sur la compréhension des nouvelles menaces du cyberespace.


Pour y répondre, l’IRT SystemX a construit, avec le support de l’ANSSI, le projet EIC (Environnement d’Intégration et d’Interopérabilité en Cybersécurité) qui offre un environnement versatile et complet pour traiter les défis suivants :

Connaître et anticiper la menace

Évaluer la robustesse des contre-mesures mises en œuvre dans des cas d’usages innovants et réalistes

Répondre aux exigences de supervision des attaques

Quelles sont les priorités de ce projet ?

L’ambition du projet EIC est la mise en œuvre d’un environnement expérimental de premier plan au niveau national et européen dédié à la recherche, à la formation et à la qualification de solutions précompétitives innovantes dans le domaine de la cybersécurité.

Cet environnement repose sur la plateforme CHESS (Cybersecurity Hardening Environment for Systems of Systems), construite avec l’aide de l’ANSSI, et labellisée par le CoFIS. Elle permet de traiter de la donnée

Future@SOC : SOC du Futur

Laboratoire de Connaissance et d'Anticipation de la Menace

Laboratoire de Sécurité Défensive

Gestion Opérationnelle

Connaissance et Anticipation de la

MenaceOSécurité Défensive


massive, de modéliser et simuler les attaques, de visualiser les menaces, et d’expérimenter et développer des technologies innovantes.


Les cas d’usages traités avec la plateforme CHESS sont :

Les « Smart Grids » : futurs réseaux d’énergie numériques et intelligents

Le transport connecté et autonome (i.e. transport ferroviaire, aérien, véhicule connecté et son environnement)

L’usine du futur : des SCADA (Supervisory Control And Data Acquisition) à l’usine 4.0, reposant sur l’internet industriel des objets

Les systèmes d’information d’entreprise, intégrant notamment la gestion de la mobilité et les nouveaux services connectés

Pour l’ensemble de ces cas d’usages, les aspects critiques suivants sont pris en compte :

L’élargissement des « surfaces d’attaque » dû aux objets connectés et aux traitements « big data » (énergie, transport, santé, finance)

La « security by design », c’est-à-dire la capacité à concevoir des architectures pour lesquelles les parties sensibles aux attaques ont été identifiées et isolées

Au-delà des aspects technologiques, le projet intègre également les sciences humaines et sociales pour aborder deux autres points critiques :

La modélisation économique et financière du risque en cybersécurité, liée notamment aux besoins des assurances d’acquérir une meilleure connaissance de la quantification de ces risques

La stratégie ainsi que les solutions juridiques et réglementaires en cybersécurité, en lien avec l’article 22 de la loi de programmation militaire (voir le section "La cybersecurité des OIV" p.34)

04

RECOMMANDATIONS POUR LE DÉVELOPPEMENT DE LA FILIÈRE CYBERSÉCURITÉ


Analyse de la Filière cybersécurité nationaleFORCES

EcosystèmeUn système de promotion de l’innovation et de la recherche montant globalement en puissance (FrenchTech, Bpifrance, etc.)Des structures fédératrices dynamiques en R&D&I (Pôles de compétitivité, MEITO, HEXATRUST, etc.)Structuration croissante de l’offre sécurité des entreprises (e.g. groupement HEXATRUST)Des grands groupes présents à l’international avec un fort potentiel d’entraînement (Thales, Morpho, Gemalto, etc.)Un tissu de PME très innovantes dotées d'un savoir-faire d'excellenceStructuration de l’écosystème en bonne voie grâce aux actions coordonnées par le CoFIS

Compétences Fort leadership dans de nombreux domaines (SOC, identification et authentification dont biométrie, HW sécurisé, cloud, HPC et Big data, sécurisation des communications, etc.)• La recherche en cybersécurité souvent à la pointe• Excellence en mathématiques et en algorithmique (e.g.

cryptographe, méthodes formelles)• Ecosystème puissant du logiciel libre mais insuffisamment exploitéCapacités d’innovation et d’initiative fortes et démontrées Un complexe qui reste fort avec effet d’entraînementCapacité à mobiliser de nombreux modes de soutien et des partenaires complémentaires sur des projets clés

Action publiquePolitique volontariste de l'ANSSI


Réglementation (LPM sur les OIV)Plan Nouvelle France Industrielle

FAIBLESSES

StructuresMarchés nationaux (France et autres pays européens) trop petits et pas assez structurantsIntégration d’offres complètes (grands groupes et PME) encore insuffisante. Le manque de solutions interopérables (normes techniques), de pratiques (normes de processus) et de dispositifs de certification à l'échelle de l'UE sont parmi les lacunes affectant le marché unique dans le domaine de la cybersécuritéEditeurs français de cybersécurité encore trop petits pour être acceptés sur les grands comptesFormations et compétences (nombre, spécialités) à développerBeaucoup d'acteurs et un tissu fragmenté

AttitudesDonneurs d’ordre français encore trop frileux sur la sécurité, timorés et pas assez innovants, souvent par méconnaissance de l’offre nationale (PME)Manque de confiance et d’ambition des PME :• beaucoup de comportements « artisanaux» • peu de présence à l’international• peu de croissance externe et trop peu d’actions de type

« groupement » pour monter en gamme (exception notable : HEXATRUST)

Trop peu d’accompagnement stratégique ou business pour empêcher le rachat des pépites nationales Les difficultés de la levée de fonds bancaires qui constituent à ce jour la difficulté majeure rencontrée par les PME dans le cadre de leurdéveloppement à l'export


Grands groupes trop peu ouverts vis à vis des PME :• Attitude filière (au sens allemand) encore trop peu développée• Politique de systèmes propriétaires souvent appliquée par les

grands donneurs d'ordre, contraire aux plateformes ouvertes et aux standards

• Présence internationale et chasse en meute peu développées

CompétencesDes trous dans la raquette• Anonymisation• Intégration SHS• Approches holistiques sur les fondements scientifiques de la

cybersécurité• Forensics• AnalyticsAlignement de la recherche académique et industrielle à améliorer (cf. Observatoire de la cybersécurité)

Action publiquePolitiques incitatives à développer :• préférence européenne/nationale peu exercée• paysage trop compliqué, multiplicité des instruments et des acteurs• saupoudrage, soutien financier pas suffisamment focalisé sur les

forces de la filière ou les technologies critiques à développer• financement pas adapté au niveau des risques technologiques

potentiels (e.g. taux des aides PIA sur les niveaux TRL bas)• royalties sur succès commerciaux (versus avances remboursables)

très efficaces mais pas assez pratiquées en particulier dans les projets PIA

• désengagement français d’EUREKA alors que la sécurité pourrait être un point de focalisation pour l’internationalisation des actions de la NFI

• pas de financements proches des marchés (« vallée de la mort »)• intérêt du capital-risque sur les entreprises de cybersécurité peu

visible• fiscalité nationale peu adaptée à l’émergence d’ETI françaises

Ambition européenne encore mal cadrée au niveau des objectifs et priorités


OPPORTUNITÉS

EvénementsImpact de l’affaire Snowden sur les services et la cybersécuritéRelai médiatique des attaques recensées et renforçant le message sur la nécessité d’une indépendance nationale dans le domaine

StructuresNouvelle réglementation nationale (en particulier sur les OIV)« Small Business Act » à la française pour la cybersécuritéMutation du marché et de l’industrie : changement de perception, valeur ajoutée plutôt que coûtPolitique industrielle du CoFISImportance de la cybersécurité pour les actions de la Nouvelle France IndustrielleMaintien ou augmentation des dépenses dans le domaine de la défense avec son fort effet d’entrainementAction au niveau européen :• cadre réglementaire unifié en Europe (NIST, DPDP, e-IDAS, etc.)• saisir l’opportunité du cPPP• construire une industrie de la cybersécurité au niveau européen

en privilégiant des coordinations de politiques publiques et des partenariats stratégiques

• décloisonnement par des labels et des certifications européens valorisant les labels français mais ciblant la reconnaissance mutuelle

• création de vrais acteurs paneuropéens puissants• régulation plus forte sur achat de technologie hors UE• facilitation dans l'accès aux investissements grâce au soutien

de la commission européenne avec la Banque européenne d’investissement (BEI) et le Fonds européen d’investissement (FEI)


AttitudesDemande de technologie croissanteVision holistique des problématiques de sécuritéPrise de positions fortes dans les organismes de normalisationDécloisonnement et convergence entre la sécurité logique et physique, la cybersécurité et les autres segments de la sécuritéImage de sécurité innovante « made in France » à renforcer et à promouvoir

Nouveaux marchés et emplois générésThèmes émergents :• Solutions cybersecurité clef en main pour les PME• Internet des objets (IoT) industriel• Sécurité de bout-en-bout de l’IoT• Smart and secure city• Dualité "privacy & security"• Analyse comportementale• Intelligence artificielle, deep et machine learning• « Ubérisation » de la cybersécurité • Blockchain pour la cybersécurité

Création d'emploisEn secteur à forte valeur ajoutée porteur d'emplois peu délocalisables

En 2015, près de 3000 emplois n'étaient pas pourvus

Besoins internationauxMoyen-Orient : les gouvernements entendent dépenser près de 9,5 milliards de dollars en cybersécurité d'ici à 2019.Afrique : les besoins sont nombreux et nouveaux. Avec un taux de croissance des TIC de l’ordre de 30 % sur un marché de plus d’un milliard de personnes, l’Afrique représente un nouvel eldorado du monde numérique.En Asie, avec les Jeux olympiques et paralympiques de Tokyo de 2020, le Japon entend renforcer sa cybersécurité au vu de la pression grandissante des cyberattaques.


MENACES

StructuresMutation du marché et de l’industrie : introduction mal pensée ou trop tardive de concepts cybersécurité « puissants » sur les nouvelles architectures-effets « legacy », manque de conception orientée par la sécurité et/ou la privacité, etc.Faible « effet vitrine » du marché français qui fragilise les entreprises nationales qui ont besoin d’une base nationale forte pour être pertinentes à l’étrangerRetard des grands donneurs d’ordre sur certains investissements dans les dernières avancées technologiques Stagnation ou baisse des dépenses militaires, qui affecterait négativement le complexe militaro-industriel et les effets d’entrainement de celui-ci sur l’ensemble de la filière (situation opposée aux Etats-Unis et en Israël) Manque de coordination au niveau européen sur les règlementations, mais aussi sur les politiques de sécurité

AttitudesMauvaise perception du risque et sous-investissement capacitaire (chez les PME en particulier)Rejet des solutions pour raisons sociales ou sociétales (facilité d’emploi, effet « big brother », etc.)

ConcurrenceEntreprises américaines puissantes (finance, marketing, R&D, réseau international et réseau de partenaires) tout particulièrement dans la partie cybersécurité ou les généralistes de l’IT se renforcent : risque stratégique fort sur la prédominance à terme des GAFA sur certains secteurs clefsNormes et contrôles américains plus protectionnistesMontée en puissance des entreprises chinoises (exemple : Huawei, Lenovo) et israéliennesPerte d’indépendance sur les produits IT (serveurs, PC, tablettes), de mobilité et de communication


Recommandations pour le développement de la FilièreRecherche, innovation et compétences

Développer des approches holistiques de la cybersécurité permettant d’en adresser les aspects pluridisciplinaires, en y associant les aspects économiques, réglementaires et normatifs et relevant des sciences humaines et socialesCompléter et mettre à jour en continu la cartographie des forces nationales de recherche et d’innovation au niveau national et international en relation avec l’observatoire de la cybersécurité. Argumenter les analyses SWOT correspondantes et en mettre en oeuvre une stratégie de priorisation des domaines de R&D&I en cybersécurité à moyen et long termes Renforcer les liens avec les sociétés savantes (par exemple la Société Mathématique de France, la Société Informatique de France, et la Société Française de Statistique), ainsi que les universités (par exemple Université Paris Saclay pour le pôle SYSTEMATIC) pour développer la mise à niveau simultanée des feuilles de route scientifique et industrielle, mettre à jour les formations nécessaires au niveau national, favoriser les transferts industrie et rechercheAbaisser les barrières d’entrée pour développer les compétences nationales en R&D&I en matière de cybersécurité par des initiatives fortes de soutien à la R&D&I de type partenariat public-privé ou fonds d’investissement spécialisésMonter un ou plusieurs démonstrateurs CoFIS d’envergure en cybersécurité sur des sujets adressant ou croisant les domaines de la NFI : industrie, transports intelligents, sécurité du territoire numérique, énergie, etc.Positionner les pôles français et en particulier le pôle SYSTEMATIC en situation de leaders pour l’établissement de partenariats stratégiques européens et en particulier franco-allemands, sur des sujets de R&D&I clefs de la cybersécurité : télécommunications, 5G, industrie du futur, véhicule connecté ou autonome, internet des objets industriels, e-santé (en utilisant les leviers EUREKA, Electronic Components and Systems for European Leadership, et H2020)


Organiser l’écosystème national de la R&D&I en matière de cybersécurité pour influencer l’ensemble des normes du secteurProposer des mécanismes incitatifs pour le développement d’un large portefeuille d’actifs en propriété intellectuelle de la cybersécuritéParticiper au pilotage effectif du cPPP, en particulier sur les "advanced Technical Communities" (aTC) autour de la labellisation et la certification de produits cybersécuritéRenforcer la coopération scientifique et technologique entre les pôles de compétitivité à forte orientation « sécurité »Mettre en place une stratégie concertée au niveau des IRT (par exemple entre l’IRT SystemX et l’IRT b<>com) pour organiser la mise à l’échelle d’une (ou plusieurs) plateforme(s) de référence en R&D&I de la cybersécurité au niveau national, adressant de manière homogène les aspects « détection », « dissuasion », « protection », « résilience », « principes et gouvernance cyber»

Leadership européen : contribuer aux objectifs clefs de la politique industrielle du CoFISLa communauté française de la cybersécurité doit contribuer aux objectifs clefs de la politique industrielle du CoFIS, tels que définis dans la feuille de route 2016. L’agrégation des résultats en R&D&I concrétisée par des résultats scientifiques de tout premier plan au niveau international, des vitrines technologiques nationales, les développement du business par des succès majeurs à l’export, une stratégie agressive en normalisation et en communication doit en particulier positionner la France comme un leader mondial sur deux segments prioritaires à fort potentiel marché :

Le domaine de la sécurité et résilience des « safe cities » La cybersécurité de l’Internet des Objets et en particulier de l’Internet des Objets « industriels »


Business et développement des start-up et PME

Travailler à la mise en place d’incubateurs et accélérateurs de la cybersécuritéTravailler entre académiques, grands groupes, PME, opérateurs et institutionnels sur tous les mécanismes d’innovation ouverte permettant de faire émerger des start-up à haut potentielMultiplier les rencontres entre les grands utilisateurs, les intégrateurs et les PME autour de la cybersécuritéDévelopper un lobbying étatique et européen pour améliorer la part de marché des PME françaises de la cybersécurité dans les achats nationaux et Européens Développer des offres de cybersécurité (en mode packagé ou en mode SaaS) prêtes à l’emploi et au meilleur rapport performance/prix pour faciliter la protection du patrimoine technologique et du business nationalFaire émerger des fonds d’investissement souverains ainsi que des compartiments dans les fonds d’investissement privés pour les start-up via des incubateurs, des fonds de capital-risque et de capital développement ; permettre la liquidité pour les investisseurs historiques en fluidifiant le marché secondaire Doper l’investissement des utilisateurs avec des approches capacitaires et incitatives en vue de répondre aux enjeux de la transition numérique Placer la cybersécurité et la confiance au cœur du numérique particulièrement sur les marchés émergents tels que l’industrie du futur, le cloud computing ou l’internet des objets (IoT) Renforcer la commande publique en matière de moyens cyber avec une approche stratégique et souveraine liées aux enjeux de la transition numérique des services publics, de la eEducation, de la eSanté etc.Traduire une approche de type Small Business Act ou Small Business Information and Research sous forme de pratiques d’achats responsables, dans une démarche durable privilégiant les compétences de confiance et locales ainsi que des partenariats d’innovation dans les administrations, les collectivités locales et par extension les grands groupes


Faire émerger un marché Européen de la cybersécurité et la confiance numérique autour du périmètre établi par la directive NIS et le RGPD, ainsi que dans tous les secteurs sensibles particulièrement stratégiquesFaire émerger des critères communs européens en conformité avec notre vision sociétale de la protection des données privées et des personnes, en contrôlant l’application du RGPD et de la Directive NIS • Faire évoluer les réglementations vers l’ensemble des secteurs

sensibles et leurs partenaires• Vérifier la mise en œuvre dans les organisations publiques et

privées• Être intransigeant dans les secteurs stratégiques et restreints


La cybersécurité n'est plus une option. Elle est une condition aujourd'hui nécessaire pour toute activité mettant en œuvre des procédés numériques, de fait et de façon croissante, pour la très grande partie des activités humaines.

De même que le développement économique de nos sociétés avancées et ouvertes n'aurait pas été possible sans la mise en place progressive, durant le dernier demi-siècle, d'un ensemble de cadres et d'organisations acceptés par tous les États, garantissant la confiance juridique des échanges, le prochain demi-siècle devrait voir sans nul doute, une évolution semblable en matière de confiance numérique.

Les questions de cybersécurité et de ses réglementations tiennent une place de plus en plus importante dans l'agenda des discussions de l'Organisation Mondiale du Commerce ou de celles du Forum Économique Mondial qui note dans son rapport de 2016 que : "Les cyberattaques (…) figurent parmi le top cinq des risques pour 27 économies, indiquant l’ampleur avec laquelle l’activité des affaires dans de nombreux pays a déjà été touchée par cette menace croissante." Et elles sont aujourd'hui au cœur d'enjeux géopolitiques majeurs.

Ce Livre Blanc lancé à l’initiative de l'alliance HEXATRUST et de SYSTEMATIC PARIS-REGION montre également que ce nouvel ordre numérique, qui reste encore à inventer et à mettre en œuvre, est aussi une formidable opportunité pour la filière française et européenne de la cybersécurité. En France, les solutions, les compétences et les capacités d'innovation existent et se positionnent au meilleur niveau. Excellence par ailleurs reconnue en Europe et à l'international. L'animation de groupements d'entreprises telle que menée par HEXATRUST et par SYSTEMATIC PARIS-REGION, la politique volontariste instaurée et le soutien des pouvoirs publics au travers de l'ANSSI prouvent le dynamisme et la mobilisation des décideurs et des acteurs du secteur.

CONCLUSION


Néanmoins, et malgré ces atouts importants, de nombreuses faiblesses persistent et représentent de véritables risques et menaces pour l'avenir de la filière. Les identifier et les présenter a été un fil conducteur essentiel de ce Livre Blanc. Pour les PME de la filière, elles se concentrent sur trois aspects principaux : la pénurie des compétences ; un marché européen trop fragmenté et dispersé ; des entreprises souvent sous-dimensionnées, fragiles financièrement et donc vulnérables.

Pour répondre à ces menaces, surmonter les faiblesses et saisir les opportunités présentées dans ce Livre Blanc, un plan d’actions est proposé, structuré selon les trois priorités suivantes : (1) Recherche, innovation et compétences ; (2) Leadership européen : contribuer aux objectifs clefs de la politique industrielle CoFIS ; (3) Business et développement des start-up et PME. Ce plan présente un caractère opérationnel avec des objectifs atteignables à moyen-terme (3 ans).

Chacune des actions inscrites dans ce plan peut être mise en œuvre par les acteurs et les organisations existantes, dont au premier plan le pôle SYSTEMATIC PARIS-REGION et l’alliance HEXATRUST. En publiant ce Livre Blanc, ces deux organisations s’engagent à porter conjointement ce plan, à en mesurer l’avancement et à en assurer le succès.

Édition janvier 2017 - Toute reproduction interdite sans autorisation de l’auteur

Directeurs de publication : Jean-Noël de Galzain (HEXATRUST) et Jean-Pierre Tual (SYSTEMATIC PARIS-REGION)

Rédacteurs : Dominique Potier (SYSTEMATIC PARIS-REGION), Mélanie Benard-Crozat et Loreline Descormiers-Thollot (HEXATRUST)

Conception / réalisation : HEXATRUST, SYSTEMATIC PARIS-REGION

Design graphique : Hélène Maugeri

ISBN : 978-2-9549444-6-3

www.systematic-paris-region.orgwww.hexatrust.com

@pole_systematic@Hexatrust

CL


CL


cybersécurité confiance numérique · « confiance numérique des utilisateurs et la protection...

Documents