Thierry Berthier, expert en cybersécurité… nous dit tout sur la cyberdéfense française !

Thierry Berthier est Docteur en Mathématiques, Maître de conférences à l’Université de Limoges et membre de la chaire universitaire de Cybersécurité & Cyberdéfense Saint-Cyr, Sogeti, Thales. Thierry est aujourd’hui un expert français reconnu sur les problématiques liées à la cybersécurité et la cyberdéfense. Attention : entretien un peu geek  :)

Bonjour Thierry. Peux-tu nous parler un peu de toi ? De ton parcours professionnel et de tes études ?

Bonjour ! Je m’appelle Thierry Berthier, j’ai 51 ans, je suis enseignant chercheur et maître de conférences à l’université de Limoges depuis 1995. J’enseigne les mathématiques pour l’informatique à l’IUT — Institut Universitaire de Technologie — de Limoges.

S’agissant des études, j’ai toujours été très intéressé par les mathématiques et j’ai un doctorat en mathématiques. Je me suis d’abord dirigé vers la théorie algébrique des nombres et la cryptographie.

J’ai ensuite orienté mes recherches vers la cyberdéfense et la cybersécurité il y a une dizaine d’années. En 2012, j’ai rejoint  la chaire de cyberdéfense et cybersécurité Saint-Cyr qui travaille sur les problématiques de cybersécurité et de cyberdéfense. C’est une chaire civile et militaire, l’idée étant de rassembler des compétences transversales pour réfléchir à des sujets liés à la sécurité numérique.

Peux-tu expliquer simplement à nos lecteurs ce que l’on appelle la cybersécurité ou la cyberdéfense ? En quoi cela consiste-t-il ?

Lorsqu’on parle de cyberdéfense, on parle le plus souvent des moyens humains et techniques mis en place pour protéger les systèmes d’information et les systèmes informatiques des infrastructures sensibles ou critiques de la Nation.

Il s’agit des structures militaires mais aussi des structures civiles d’intérêt vital comme les aéroports, les barrages, les centrales électriques, les industries stratégiques, les administrations, les services de l’Etat, etc.

La cybersécurité est un terme un peu plus vaste, elle concerne tous les moyens techniques ou humains pour protéger les individus sur le cyberespace.

Aujourd’hui, comment la France est-elle organisée en matière de cyberdéfense ? Y a-t-il un département spécialement chargé de protéger les systèmes d’information et les réseaux français ?

Il existe plusieurs structures chargées de veiller à la sécurité des infrastructures françaises. La plus importante est l’ANSSI — Agence Nationale de Sécurité des Systèmes d’Information — qui a été créé en 2009. Cette agence est chargée de veiller à la sécurité de ce que l’on appelle les OIV — Opérateur d’Importance Vitale — tels que les administrations, les grands services de l’Etat, les hôpitaux, les aéroports, les gares, etc.

Par exemple, c’est elle qui a aidé la chaine TV5 Monde lorsque celle-ci a été victime d’une cyberattaque massive dont on avait beaucoup entendu parler il y a quelques temps. L’ANSSI est rattachée au SGDSN (Secrétariat Général de la Défense et de la Sécurité Nationale) et au cabinet du Premier Ministre.  Elle emploie plusieurs milliers de personnes, c’est clairement l’organisme de référence en France.

Côté militaire, il existe des structures spécifiques rattachées au Ministère de la Défense qui veillent sur la cybersécurité des installations militaires. Aujourd’hui, toutes ces organisations communiquent entre elles et s’échangent des informations en cas de besoin, ce qui est indispensable pour être efficace face aux nouvelles cybermenaces.

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a été créée par décret en juillet 2009. Cet organisme est chargé de veiller à la sécurité des infrastructures sensibles de la France.

En moyenne, combien d’attaques informatiques recense la France chaque jour ? En quoi consistent ces attaques pour la plupart ?

Plusieurs milliers d’attaques par jour ! La plupart sont assez simples à contenir et ne provoquent pas de gros dégâts. Elles sont généralement menées par des individus qui « travaillent à leur propre compte », qui cherchent à gagner un peu d’argent et qui utilisent des procédés techniques assez connus ou rudimentaires. D’autres, bien plus sophistiquées, sont le fait de cellules de hacker mieux organisées ou même de certains États.

Il faut bien comprendre qu’à l’heure actuelle, si nous n’avions pas de boucliers numériques, plus rien ne fonctionnerait en France ! Il faut aussi distinguer ce que l’on appelle le black hat et le ethical hat. Le black hat consiste à lancer des attaques mal attentionnées, relevant de la cybercriminalité, tandis que le “ethical hat” cherche à pointer des failles et des vulnérabilités pour inviter les éditeurs et développeurs à faire des corrections sur leurs systèmes d’information. C’est une forme de hacking à objectifs pédagogiques.

La France possède-t-elle une stratégie nationale de cyberdéfense ? Avec des moyens alloués pour mener à bien ces missions ?

Oui. La stratégie et la doctrine française en matière de cybersécurité – cyberdéfense sont fixées par le Ministère de la Défense. Les grandes orientations figurent dans les différents livres blancs de la Défense Nationale (LBDN) qui ont été publiés et que chacun peut consulter. Notre stratégie nationale se concrétise dans la loi de programmation militaire (LPM 2014-2019).

La cyberdéfense constitue l’une des priorités du dernier LBDN. La France a  considérablement  développé sa cyberdéfense depuis une dizaine d’années. Plus d’un milliard d’euros ont été consacrés à la cyberdéfense française.

Si la France est victime d’une attaque, peut-elle répliquer ? L’État peut-il prendre des mesures de rétorsion et contre-attaquer ?

Oui. C’est assez nouveau au sein de la défense française. Pendant longtemps, la France a mené une politique de cyberdéfense dite « défensive ». Mais depuis un an et demi environ, il y a eu un changement de discours au niveau ministériel.

La France a engagé une politique de cyberdéfense potentiellement offensive, comme le font la plupart des autres pays du monde. La France est donc bien en mesure de répliquer à des attaques informatiques si elle le souhaite. Bien entendu, tout cela est parfaitement cadré et des protocoles bien précis sont en place au sein des services de l’Etat.

Existe-t-il aujourd’hui une distinction entre cyberguerre et guerre conventionnelle ? Pour prolonger la question, un État peut-il user de moyens militaires conventionnels pour faire face à une cyberattaque ?

Absolument. On parle aujourd’hui de cyber-armée au même titre que l’Armée de terre, la Marine ou l’armée de l’air. Concrètement, cela veut dire que si la France subit une cyberattaque majeure, une sorte de Pearl Harbor numérique, et que les coupables sont clairement identifiés (on parle d’attribution de la cyberattaque) — ce qui est vraiment très difficile par ailleurs ! —, la France peut alors prendre des mesures militaires pour se défendre et répondre à l’attaque initiale.

Le lien est donc fait entre cyberguerre et guerre conventionnelle. Il faut savoir que c’est également valable dans le cadre de l’OTAN. Aujourd’hui, si un État membre de l’OTAN subit une cyberattaque massive qui mettrait le pays par terre, les alliés se donnent le droit de répliquer par des mesures militaires. Mais encore une fois, il est en général toujours très difficile d’attribuer la paternité d’une cyberattaque avec certitude…

Globalement, la France est-elle un pays sûr ? Notre cyberdéfense est-elle efficace ? Nos ingénieurs, cryptographes, mathématiciens et informaticiens sont-ils compétents ?

Franchement, oui. Je pense que la France fait partie clairement des bons élèves. Déjà, pour tout ce qui est informatique théorique, mathématique et cryptographie, nous sommes excellents.

La recherche française en mathématiques est très performante au niveau mondial. Nous avons de nombreuses Médailles Fields en mathématiques et nous avons des écoles de très haut niveau qui forment d’excellents chercheurs en cybersécurité. De ce point de vue là, je pense même que nous faisons jeu égal avec les États-Unis. Je pense aussi que nos structures chargées de la cyberdéfense sont pertinentes et compétentes. Comme souvent, la difficulté vient de la fameuse « fuite des cerveaux ». Certains ingénieurs, chercheurs et mathématiciens quittent le territoire pour travailler dans le privé auprès de grandes entreprises étrangères qui rémunèrent bien mieux leurs salariés.

Il faut aussi savoir qu’il existe une pénurie des talents dans les domaines de la cybersécurité et cyberdéfense. Pour donner un exemple, un jeune ingénieur spécialisé en cyberdéfense qui sort de l’ENSIBS — École Nationale d’Ingénieurs de l’Université de Bretagne Sud — reçoit en moyenne 104 propositions de CDI avant même d’avoir fini ses études  !

C’est quoi pour toi la différence entre un bon et un mauvais hacker ?

Grande question ! Déjà, le bon hacker, c’est celui qui ne se fait jamais repérer. C’est aussi celui qui découvre de nouvelles failles, de nouvelles vulnérabilités auxquelles les concepteurs de logiciels n’ont pas pensé. Un bon hacker, c’est avant tout un bon chercheur.

D’ailleurs, pour reparler de nos talents français, il y avait une startup de Montpellier qui s’appelait Vupen, et qui était spécialisée dans la recherche de failles logicielles. C’était les champions du monde, ils gagnaient tous les concours de hacking organisés par de grands éditeurs de logiciel.

Pour plusieurs raisons, ils ont dû quitter la France pour s’installer aux États-Unis…

Existe-t-il une grande révolution ? Une grande nouveauté qui pourrait influencer notre cyberdéfense dans les années à venir ?

Comme dans beaucoup de domaines, je pense que l’intelligence artificielle va profondément faire évoluer la cybersécurité. D’ailleurs, elle le fait déjà. Il faut bien comprendre que l’intelligence artificielle permet de robotiser et d’automatiser les attaques informatiques comme les systèmes de défense.

Prenons l’exemple d’un système de sécurité. Aujourd’hui, la « couche de sécurité » qu’on applique à un système d’information peut utiliser la machine learning via les systèmes UBA — User Behavior Analytics —. Ces systèmes analysent le comportement des utilisateurs d’un réseau, leurs habitudes, la fréquence d’utilisation des machines, etc.

Pendant quelques mois, le système  apprend le fonctionnement du réseau en récoltant des millions de données. Une fois qu’il a fini son travail de collecte et d’apprentissage automatisé, il entre en activité. Dès qu’un comportement est perçu comme « déviant », le système UBA détecte l’anomalie et la croise avec d’autres informations pour comprendre de quoi il peut s’agir. Il peut alors dire « attention, là nous avons un début d’attaque »

. Ces systèmes sont d’autant plus efficaces qu’ils peuvent anticiper les attaques avant même qu’elles aient lieu puisque les hackers testent toujours leurs attaques avant de les mener et laissent des traces et des signaux faibles caractéristiques d’une attaque en préparation.

Quels conseils pratiques donnerais-tu à Madame Michu qui souhaiterait protéger ses données et limiter les risques de cyberattaques ?

En premier lieu, je lui conseille de sauvegarder régulièrement — toutes les 3 semaines par exemple — ses données sur un disque dur externe en prenant soin de le débrancher une fois la sauvegarde effectuée. Cela pourra lui éviter d’être un jour “cryptolocké”, c’est-à-dire de devoir payer une rançon pour pouvoir récupérer ses données.

Ce sont des malware assez fréquents et destructeurs pour les données personnelles. Je lui conseille aussi de bien faire les mises à jour de son système d’exploitation, de ses logiciels et de son antivirus.

Les virus évoluent rapidement, les malwares s’adaptent et les mises à jour corrigent souvent des failles de sécurité qui pourraient être exploitées. Enfin, je lui conseille vivement d’installer un antivirus sur son smartphone !

On croit naïvement que les smartphones sont à l’abri de cyberattaques, mais ce sont des appareils connectés comme les autres, ils sont donc vulnérables.

Y a-t-il un blog, une plateforme sur laquelle on peut retrouver tes analyses, des articles ou autres ?

Oui, j’ai un blog qui s’appelle Cyberland sur lequel je publie tous mes articles. J’écris aussi parfois pour les Échos, le Monde, le Huffington Post, The Conversation, etc.

Par contre, je suis peu présent sur les réseaux sociaux, je n’ai pas le temps de m’en occuper. Et pour ceux qui veulent pousser un peu la question, je publie aussi des articles d’analyse et de recherche sur le site de la Chaire de Saint-Cyr.

Merci Thierry pour cet entretien passionnant ! On fini avec un petit portrait chinois, tu dois obligatoirement répondre par oui/non ou pour/contre.

Une donnée cryptée est-elle inviolable ?

Non.

L’informatique est-elle une arme ?

Non.

La devise de Google est « dont be evil ». Faut-il les croire sur parole ?

Oui. Je pense vraiment que leurs intentions sont bonnes ! Google veut faire le bien…

Penses-tu qu’un jour les robots dirigeront le monde ?

Non.

Utilises-tu un bloqueur de publicité pour naviguer sur le net ?

Non.

Dans le fond, penses-tu qu’Internet est compatible avec l’idée de souveraineté nationale ?

Ah !!! Hyper difficile comme question. Allez, je dis oui.

Si t’étais Président de la République, accorderais-tu l’asile politique à Edward Snowden et Julien Assange ?

Non. Je n’aime pas les traîtres.

Penses-tu qu’une technologie n’est ni neutre, ni bonne, ni mauvaise ?

Oui.

#MesureMacron : Pour ou contre l’interdiction du smartphone à l’école primaire et le collège ?

Contre.

#MesureMacron : Pour ou contre la mise en place du vote électronique ?

Pour.