Intervention sur France Culture

"Pirates!" / Du vol de données au ransomware: la naissance d'un modèle économique. Emission Culturesmonde, sur France Culture, le mardi 10 janvier 2017. Intervenants: Eric Delbecque (SIFARI, Amaëmme Guiton (Libération), Daniel Ventre (CNRS), Wauchula Ghost (hackers). 

ANR table-ronde Internet des Objets

Le jeudi 17 novembre 2016 s'est tenue une table-ronde "Sécurité des objets connectés" organisée dans le cadre des rencontres numériques de l'ANR (Cité des Sciences et de l'Industrie. Paris).
Ont participé au panel:
- Daniel Ventre, CNRS
- Christine Balagué, Institut Mines-Telecom
- Silvia Giordano, Networking Lab
- Thomas Gayet, CERT-UBIK, Digital Security.
La table-ronde était animée par José Araujo (ANSSI). 

Création de bases de données à caractère personnel et conscience des risques

Les citoyens sont fichés de mille et une manières, que ce soit par l’administration ou le secteur privé. Pour chaque individu, des données sont créées avant même sa venue au monde, et le processus le poursuit tout au long de sa vie et au-delà. Pourtant, toutes ces données sont très vulnérables. 

Les bases de données, fussent-elles créées et gérées par les Etats (ou leurs prestataires) ne sont pas des forteresses inattaquables. Les bases de données sont des objets extrêmement fragiles, vulnérables aux cyberattaques, aux vols, à la copie, à l’altération des données, au sabotage. Les exemples peuvent être cités, par centaines, d’atteintes aux bases de données un peu partout dans le monde. Les plus volumineuses des bases, qui regroupent les données de millions de citoyens, ne sont pas nécessairement les mieux sécurisées :

• En 2006, l’administration américaine des vétérans a vu les données de 26 millions de citoyens exposées suite à un vol d’ordinateur
• Au Royaume-Uni, en 2007, l’HM Revenue and Customs Department a perdu des supports contenant les données de 25 millions de personnes bénéficiant d’aides sociales
• En 2012, la police de Manchester perd une clef usb contenant les données personnelles d’un millier de témoins impliqués dans des enquêtes criminelles  
• Les systèmes du gouvernement américain ont subi des attaques se soldant par le « vol » de données de plus de 21 millions de citoyens du pays. L’affaire a été révélée en juillet 2015. Les données volées concernaient les citoyens ayant travaillé pour l’Etat. Les données contenaient numéros de sécurité sociale, adresses, noms, historiques médicaux et financiers, etc.
• En février 2016, des hackers piratent les bases de données de l’administration américaine et divulguent les données de 10 000 employés du DHS, puis celles de 20000 employés du FBI

Tous les secteurs sont concernés par les vols et pertes de données : banques, industries, éducation, santé, police, défense, secteurs sensibles…  Car tous les systèmes, toutes les organisations, ont leurs failles (techniques, humaines).  

A la lumière de cette seule brève énumération d’incidents, ne semblerait-il pas plutôt recommandé d’opter pour d’autres stratégies que la mise en fiches de populations entières ? Et de lui préférer a contrario une segmentation des données, une réduction des volumes des bases, du nombre de données collectées et regroupées ? 

Programme Colloque "Economie de la Cybersécurité"

Colloque "Economie de la Cybersécurité". 14 novembre 2016. 9h00 – 17h30

(accueil à partir de 8h30)

Lieu : Paris, Hôtel des Invalides

Inscriptions (entrée gratuite mais inscription préalable obligatoire): invitations@chaire-cyber.fr 

9h00 - Introduction

• Daniel Ventre. CNRS (CESDIP). Titulaire de la Chaire. « Introduction : des liens entre cybersécurité et économie ».

9h15 - 10h45 : L’économie de la cybersécurité : ses indicateurs, ses règles, son organisation, son évolution. 1° Partie

  Modérateur : tbc 

• Jean-Marie Letort, Thales. «Cybersécurité et création de valeur économique. Le témoignage d’un industriel »

• Pierre-Luc Refalo. Directeur du Conseil Stratégique Cybersécurité – Capgemini Sogeti, "Dépenses en Cybersécurité et Cyber Assurance"

• Fabio Bisogni. Comitato Direttivo Fondazione FORMIT. “Are you (competitively) cybersecure?

10h45 – 11h00 : Questions/réponses

11h00 – 11h15 : Pause

11h15 - 12h15 : L’économie de la cybersécurité : ses indicateurs, ses règles, son organisation, son évolution. 2nde Partie

Modérateur: Daniel Ventre 

• Thierry Berthier. Membre de la Chaire cybersécurité. Prof. Univ. Limoges. « Lorsque l’intelligence artificielle uberise la cybersécurité ».

• Olivier Danino. Chercheur au sein de l'Institut français d'analyse stratégique (IFAS) et membre du Cercle des chercheurs du Moyen-Orient (CCMO), « Economie de la cybersécurité en Israël ».

12h15 – 12h30 : Questions/réponses

12h30 – 13h45 : Déjeuner

13h45 – 16h15 : Cybercriminalité et économie

 Modérateur : tbc

• Jart Armin. Founder - Stichting CyberDefcon Netherlands Foundation. “Measuring the Economic Cost of Cybercrime: No measure No solution”.

• Quentin Rossy. Université de Lausanne. "La vente de faux documents d'identité sur Internet".

• François Paget. Administrateur du CLUSIF. Membre de la Chaire Cybersécurité. « Darknet et économie souterraine».

15h15 – 15h30 : Questions/réponses

15h30 – 15h45 : Pause

15h45 - 16h15 : Des aspects juridiques de l’économie de la cybersécurité

• Cécile Doutriaux. Avocate, étude de Maîtres DOUTRIAUX-VILAR & Associés , Membre de la chaire cyberdéfense des écoles de Saint Cyr. « Droit et économie de la cybersécurité : quel impact de la règlementation sur l’économie de la cybersécurité?»

16h15 – 16h45 : Economie de cybersécurité et économie de défense

• Jean Belin. Univ. Bordeaux et Titulaire de La Chaire économie de la défense de l'IHEDN. «Approche économique de la cybersécurité: quels enseignements tirer de l'économie de la défense».

16h45 – 17h : Questions/réponses et conclusions

Appel à Communication Atelier Cyber - VII Congrès des associations francophones de science politique

Appel à communications

VII Congrès des associations francophones de science politique (COSPOF)

Flux et Frontières. Réponses politiques et identitaires / Montréal (UQÀM) 17-19 mai 2017

Atelier : Les théories de relations internationales et le cyber: une occasion manquée?

La nature des conflits armés contemporains a bien changé depuis l’émergence du cyberespace. En effet, les conflits armés actuels se déroulent de plus en plus grâce au cyberespace ou dans le cyberespace. Ces conflits participent également à la densification des flux transnationaux et au franchissement sans précédent des frontières. Si bien que le concept de cyberguerre a fini par être accepté par la communauté scientifique si non par les militaires.

Ainsi, depuis quelques années, le cyberespace devient un élément d’analyse incontournable dans l’étude des relations internationales. Si les dirigeants des plus grandes forces armées du monde ont mis en œuvre une conceptualisation pragmatique du cyberespace et de ses conséquences, il n’en va pas nécessairement de même pour les théoriciens des relations internationales. Le développement des théories des relations internationales ne semble pas avoir suivi le développement extraordinaire de leur objet privilégié, soit la guerre, depuis l’émergence du cyberespace. Ce décalage pose un problème analytique puisque les outils théoriques analysant le monde ne sont plus en mesure de l’évaluer tel que ce monde est réellement. Une fusion entre les théories de relations internationales et les études sur le cyberespace semble manquer.

Cette proposition d'atelier invite les conférenciers à passer en revue les principales théories des relations internationales en ce qui concerne plus spécifiquement les conflits armés, notamment leurs causes et leurs natures à la lumière de l'importance du cyberespace aujourd'hui et de la croissance du réseau Internet. Plusieurs questions animent cet atelier: Quelles sont les difficultés de transposition de ces théories dans le monde réticulaire? Est-ce que les notions importantes des principales théories, telles que l’anarchie, les acteurs, la nature du système international ou la coopération, doivent être revisitées? Quel regard critique doit être posé sur ces transpositions/adaptations théoriques et quelles sont leurs limites qu’elles soient de nature empirique et théorique?

Modalités de soumission et calendrier

• La proposition de communication comprendra un titre, trois à cinq mots-clés, un résumé (2 000 à 4 000 signes, Times 12), et une brève présentation de l’auteur (nom, coordonnées, affiliation institutionnelle). Elle est rédigée de préférence en français.
• 1^er décembre 2016 : date limite pour l’envoi de la proposition de communication.
• La proposition doit être envoyée, en document attaché (Word), aux responsables Hugo Loiseau (Hugo.Loiseau@USherbrooke.ca) et Daniel Ventre (daniel.ventre@cesdip.fr) par courriel (indiquer « Congrès COSPOF 2017 » comme objet du message).
• Le 9 janvier 2017 : sélection des communications et notification aux auteurs.
• 17 mars 2017 : date limite pour l’envoi des communications sous forme d’articles inédits en français (30 000 à 40 000 signes, Times 12, format de citation APA). 

Des frais d’inscription s’appliquent. Ils donnent accès aux trois jours d’activités du congrès, aux repas du midi, à des pauses-café ainsi qu’à deux cocktails. Un site transactionnel sera prochainement mis à disposition pour compléter en ligne l’inscription. La date limite pour l’effectuer est le 1° avril 2017.

o   50$CAN pour les membres réguliers de la SQSP ou de toutes associations sœurs (AFSP, ABSP, ASSP et Luxpol).

o   25$CAN pour les membres étudiants de la SQSP ou de toutes associations sœurs (AFSP, ABSP, ASSP et Luxpol).

o   150$CAN pour les participants non-membres.

o   75$CAN pour les étudiants non-membres.

Responsables

• Hugo Loiseau, professeur agrégé, École de politique appliquée, Université de Sherbrooke, Codirecteur Observatoire des Amériques, CEIM-UQÀM
• Daniel Ventre, CNRS (Laboratoire CESDIP - UMR 8183), Titulaire Chaire Cybersécurité & Cyberdéfense (Saint-Cyr, Sogeti, Thales) 

Colloque "Economie de la Cybersécurité" - Paris - 14 novembre 2016

Colloque "Economie de la Cybersécurité", Paris, le 14 novembre 2016. Organisé par la Chaire Cybersécurité & Cyberdéfense.
Inscriptions (gratuites) : invitations@chaire-cyber.fr
Programme: sur le site de la Chaire

Le premier débat entre D. Trump et H. Clinton, candidats à la présidence américaine. A propos de la cybersécurité

Le premier débat télévisé entre les deux candidats à la présidentielle américaine a eu lieu le 27 septembre 2016. Lors de ce débat la question « cyber » fut évoquée et nous avons identifié 7 sujets essentiels : l’importance de la cybersécurité/cyberguerre ; les formes de menace (catégories d’agresseurs) et les sources des attaques (attribution) ; les capacités américaines ; l’utilisation des moyens et la posture défensive ; la lutte contre le terrorisme en ligne ; l’affaire des e-mails d’H. Clinton. Le tableau ci-dessous reprend les arguments des deux candidats sur chaque point.

 

		Hillary Clinton	Donald Trump
1	Définir l’échelle des priorités. Cybersécurité, cyberguerre	L’un des plus grands défis pour le futur président	Pas le plus grand défi. La plus grande menace reste nucléaire
2	Catégoriser. Quels types de menaces	Distingue les deux catégories d’adversaires : -          les groupes de hackers indépendants (objectif : gagner de l’argent) -          les Etats hackers	Des cyberattaques de toutes parts sont bien sûr possibles (Etats, et acteur non-étatiques)
3	Attribuer. Qui constitue la menace	La Russie, Poutine : pour H. Clinton il ne fait aucun doute que les hackers russes sont les auteurs des cyberattaques contre le DNC (Democratic National Committee). Les actions de la Russie sont perçues comme une phase de test des limites de la résistance et de la patience américaine. La Chine L’Iran Aucun autre pays n’est désigné nominativement.	Rappelle la problématique de l’attribution des attaques : -          «it could be Russia, but it could also be China. It could also be lots of other people. It also could be somebody sitting on their bed that weighs 400 pounds, OK?”
4	Evaluer les rapports de force. A propos des capacités de cybersécurité/guerre américaines :	Les Etats-Unis sont bien supérieurs à tous leurs adversaires : -          “The United States has much greater capacity”.	Les Etats-Unis devraient être supérieurs mais ne le sont sans doute pas. Mes USA sont faibles en l’état des choses : -          “when you look at what ISIS is doing with the Internet, they're beating us at our own game. ISIS.” Les capacités ne sont pas ce qu’elles devraient être en raison des choix politiques : -          “under President Obama we've lost control of things that we used to have control over.”
5	Définir la posture, face aux cyberattaques	Les Etats-Unis réagiront aux cyberattaques. Mais les Etats-Unis n’ont pas l’intention de se servir de toute la puissance à leur disposition : -          “We don't want to use the kinds of tools that we have.” L’arsenal permet donc des actions puissantes, qu’il est préférable de ne pas engager.	Les Etats-Unis doivent faire mieux qu’actuellement : -          “We have so many things that we have to do better, Lester, and certainly cyber is one of them.”
6	Contrer le terrorisme en ligne	Il faut exploiter internet pour traquer et vaincre l’Etats-Islamique	L’Etats Islamique se joue sur internet de la puissance américaine
6	Exploiter l’affaire des e-mails d’H. Clinton	H. Clinton reconnaît avoir commis une « erreur » : - « I made a mistake using a private e- mail.”	D. Trump attend la publication des 33 000 emails effacés par H. Clinton (en échange de quoi il publiera ses revenus). N’accepte pas la qualification d’erreur. Il affirme qu’il y a eu acte intentionnel.

Donald Trump reste fidèle à sa ligne, reprenant les principaux arguments déjà présentés lors de discours précédents[1] et exploitant l’affaire des e-mails, mais aussi la manière dont l’Etat Islamique a investi le cyberespace, ou encore l’ensemble des cyberattaques subies par les Etats-Unis au cours des dernières années, pour dépeindre un gouvernement démocrate faible, faillible, impuissant, inapte à gérer les questions de sécurité et de défense avec la fermeté qu’il se doit. A ces arguments, H. Clinton au contraire oppose la description d’une Amérique puissante dans le champ de la cybersécurité, et ferme dans ses choix stratégiques.

Mais ni l’un ni l’autre n’a tout à fait tort ou raison. Car en matière de cybersécurité, plusieurs points de vue sont acceptables. Ainsi, l’appréciation de la puissance reste-t-elle relative (les Etats-Unis disposent sans nul doute d’une organisation et de moyens tant défensifs qu’offensifs majeurs, mais sont en même temps exposés et vulnérables à des attaques que peuvent mener des acteurs bien inférieurs en termes de moyens : dans ce cas, doit-on louer la puissance ou au contraire la faiblesse et la permanence de failles ? Les deux points de vue sont acceptables, chaque candidat adopte celui qui sert ses arguments). L’appréciation de la menace elle aussi demeure imprécise. L’attribution des attaques, la désignation des responsables reste une problématique majeure, malgré tous les progrès qui ont pu être réalisés dans ce domaine. Aucun des deux candidats ne propose de véritable solution aux défis. H. Clinton désigne la Russie, la Chine et l’Iran ; D. Trump demeure plus évasif ; mais les réponses concrètes sont absentes. D. Trump ne dit pas comment il retrouvera la puissance supposée perdue par B. Obama. Quand à H. Clinton elle non plus ne donne guère d’indice, quand elle avance ne pas vouloir utiliser la puissance des moyens dont l’Amérique dispose. Quelle est cette puissance, quels sont ses substituts ? Rien n’est dit non plus de la lutte contre le terrorisme dans le cyberespace. Le grand public en a sans doute déjà entendu assez, de grandes lignes suffisent, toute précision deviendrait sans doute rapidement trop technique. Il faut dans cet exercice schématiser.

Globalement, la présence du thème « cybersécurité » dans le débat doit être soulignée. La cybersécurité était encore absente des dernières campagnes menées par B. Obama par exemple. Il y a donc une prise de conscience, une intégration de la problématique. Remarquons toutefois que plusieurs sujets relatifs au « cyber » ont été ignorés lors du débat. Peut-être le seront-ils lors de confrontations prochaines. Il s’agit notamment des problématiques qui depuis les révélations d’Edward Snowden se sont affirmées dans le débat public : les pratiques de surveillance américaines, le rôle de la NSA et plus largement des agences de renseignement, la cybersurveillance des citoyens américains via la collecte systématique de leurs données et les atteintes qu’elle constitue à la vie privée, aux droits fondamentaux ; la cybersurveillance des puissances étrangères, adversaires et alliées. Au-delà des seules questions sécuritaires, rien n’a été dit non plus de l’économie numérique, de la société connectée, des innovations technologiques et des transformations sociales annoncées avec les objets connectés, les villes intelligentes, etc. Tous ces sujets sont écartés du discours des candidats. Le renseignement ne fait pas débat (est-il consensuel ? interdit ?), la vie privée non plus, les transformations sociales ou le progrès technologique pas davantage. Laisse-t-on le soin aux acteurs concernés (les agences, les entreprises marchandes de technologies) de réguler leur propre domaine ?

---

[1] Voir l’analyse que nous en proposions il y a quelques semaines : « Le candidat Donald Trump et les questions de cybersécurité et cyberdéfense », Daniel Ventre, 28 juillet 2016. http://econflicts.blogspot.fr/2016/07/le-candidat-d-trump-et-les-questions-de.html