L'affaire Thales et la déstabilisation de l'Etat estonien sont à l'origine d'une prise de conscience nationale sur la problématique de la cyber sécurité. Thales aurait fait l’objet d’une cyber-attaque qualifiée de majeure rapportait « le Canard Enchaine » du 15 avril 2015 : son système informatique d’abord américain, puis canadien, australien, britannique et français auraient été attaqués à la mi-février de cette année-là, alors que d’importantes tractations avaient lieu pour le positionnement sur un marché hypercritique des moyens de protection des opérateurs dits d’importances vitales dont les appels d’offres ont été tout justement lancé par le gouvernement français au cours de l’année 2014. Sollicité par l'agence Reuters, un porte-parole de Thales répondit à l'époque : « Thales ne commente jamais de façon spécifique telle ou telle tentative d'intrusion informatique ». Cette affaire renvoyait aux enjeux svus de la fenêtre étatique pour se prémunir d’un scénario à l’estonienne. En 2007, l'Estonie avait été confrontée à une cyber-attaque majeure attribuée à la Russie (aucune cyber-attaque ne peut véritablement être remontée et attribuée de façon absolue) avec des milliers d’attaques simultanées provenant d’ordinateurs bases dans une soixantaine de pays. L’offensive avait saturé les serveurs d’institutions publiques et privées (ministères, banques, médias, …) pendant plusieurs jours, conduisant à un black-out partiel de leurs services.
Une reprise en main française
Pour palier au spectre de cyber-attaques pouvant générer un black-out total ou partiel sur les services essentiels d’un pays, la Loi de Programmation Militaire LPM, votée en France en décembre 2013, a renforcé drastiquement les exigences de cyber sécurité pour plus de 200 entreprises et administrations, dits : Operateurs d’Importance Vitales (OIV). Parmi les obligations de ces OIV, dont la liste exacte est classée « secret défense » (des entreprises de transports, d’énergie, de gestion de l’eau, ports industriels stratégiques…) figure l’obligation de recourir à l’installation, dans leur serveurs informatiques, des « sondes souveraines », développées par des industriels et qualifiées par Agence Nationale de la Sécurité des Systemes d’Information (ANSSI). Il s’agit ainsi d’équiper les organes vitaux de la France de ces outils particulièrement complexes, qui se branchent sur les serveurs informatiques les plus critiques, et analysent en temps réel les flux de données pour y repérer des attaques potentielles ou leur indicateurs. Ces sondes, dites « souveraines » (car 100% développées et qualifiées en France), sont qualifiées auprès de l’ANSSI, mais ce processus est aussi inspecté par un organisme indépendant, dont nous ne savons pas grand-chose – situation salvatrice. Afin d’accompagner les industriels à développer les fameuses sondes, l’Etat français lance en 2014 un appel à projets dans le cadre des investissements d’avenir. Ces« investissements d’avenir » comprennent aussi d’autres volets concourants, dont la création en septembre 2015 du premier centre de cyber sécurité à la française faisant collaborer les acteurs publiques et privés, ou l’on reconnaîtra l’implication académique et des moyens de recherche de l’ESIEA. « Après la défense, place à l’attaque préventive… apprendre à simuler des attaques pour mieux les contrer ».
Les investissements se diversifient pour renforcer le tissu des acteurs connexes, en permettant notamment la création d’un incubateur de start-up, tel que « Le Village » 2015-2017 où l’on voit se consolider une certaine entité : GateWatcher. Près d’un an après l’élection du nouveau Président de la République française – qui fut aussi Ministre de l’Economie, de l’Industrie et du Numérique - la nouvelle LPM, votée en juin 2018, renforce encore l’importance de ces sondes : celles-ci devront également pouvoir être installées, sur demande de l’ANSSI, dans les serveurs des opérateurs télécoms. Certains avaient sans doute vu les choses venir puisque GateWatcher de flirter avec Orange Cyber sécurité depuis 2016. Mais plus innocemment, il s’agit d’adapter les outils aux risques de cyber-attaques. Une étude « Forbes » de 2016 montre qu’« in fine » les cibles en termes de volume sont davantage orientées sur les organismes de santé, les secteurs manufacturiers, les entités financières avant finalement de ne toucher que les secteurs strictement liées à la Défense.
Une compétition plus ouverte
Dans cette compétition, l’idée a été dès le départ de limiter -à des acteurs purement français- la réponse à l’appel à projet, d’où le terme « sonde souveraine » ainsi : doublement renforcé de son sens. « Nous ne pouvons exclure la possibilité que des sondes étrangères soient aveugles a une partie des menaces », justifiait le patron de l ANSSI, Guillaume Poupart, devant les députés de la commission de défense en mars 2018. Les trois acteurs majeurs français du secteur cyber ont répondu à cette campagne : Airbus, Thales et Atos-Bull. Les projets d’Airbus et Thales sont retenus, mais pas celui d’Atos-Bull. On s’oriente tout droit vers un duel entre Thales (sonde Cybel) et Airbus (sonde Keelback Net). Mais les dés ne sont pas jetés pour autant, car un troisième acteur s’invite aux pourparlers : GateWatcher, une startup parisienne spécialisée dans la détection des intrusions informatiques. Le patron de la société, Jaques de la Rivière, se positionne par rapport à la concurrence des géants tels que Thales et Airbus « On est une PME au milieu de grands groupes, c’est ça qui est marrant, assure-t-il. On va beaucoup plus vite, avec des couts bien plus bas. » Avec son associé, Philippe Gillet, Jacques de la Rivière avait commencé à travailler sur les techniques de masquage des hackers quand il était étudiant à l’ESIEA, une école d’ingénieurs spécialisé dans le monde numérique. Il assure n’avoir aucun complexe face à la concurrence. « En termes de détection et de performance, on est largement devant, jure-t-il. Vu les spécifications de l ANSSI, très exigeantes, on est même plus performants que des géants comme Cisco. »
GateWatcher se targue ainsi de sa position particulière laissant entendre que la balance politique est en marche pour laisser survivre les partenaires historiques pendant que la conquête des marches est juste à portée de main. La start-up serait également bien placée pour remporter un appel d’offre de l’armée pour des sondes destinées a une dizaine de frégates de la Marine nationale, dont les futures frégates de taille intermédiaires FTI sans s’étendre sur le sujet, arguant des clauses de confidentialité avec ses clients. Tout de même assez troublant, si l’on revient sur les répliques d’attaques informatiques faisant écho aux premières attaques malvenues pour Thales et plus particulièrement sur celles ayant pu avoir affecté la Direction Générale de l’Armement DGA : Programme SIC21 avec le virus Courch Yeti sur des installations maritimes et terrestres.
Le prcessus de qualification de l'ANSSI
La capacité de robustesse de la solution « capacité à ne pas pouvoir être pirate » semble laisser une certaine avance au « petit » qui a de réelles intentions par une approche agressive du marché non seulement des OIV mais aussi acteurs de second plan. En outre, L’agence dit vouloir qualifier au moins deux sondes en même temps, pour officiellement, offrir un choix aux opérateurs d’importance vitale. Mais ne s’agirait-il pas aussi quelque part de « ne pas mettre tous les œufs dans le même panier », de conserver une pseudo-concurrence induite et garantir un niveau de performance qui ne laisse pas les inerties des grands se reposer sur leurs acquis statutaires et leurs relais institutionnels.
Le processus de qualification des sondes par l’ANSSI, est prévue en deux étapes : une première qualification temporaire, dite QE, fin 2018, puis la qualification définitive, dite QS, en 2019. Et, si le scénario d’un véritable positionnement du nouveau devient de plus en plus plausible, son assise est l’objet de détracteurs arguant la confiance que pourrait être accorde à une si petite structure tout juste arrivée, avec le risque d’être phagocyté par quelques acteurs incontrôlé. Mais c’est sans savoir que la start-up collabore déjà avec de grands partenaires, comme Orange Cyberdéfense, avec qui il travaille sur les Security Operations Center SOC, les centres de réaction rapide en cyber sécurité.
Mais Thales n’est pas en reste, ses ventes dans le domaine de la cyber sécurité ont fait un remarquable bond en 2017 et la confiance est de mise sur l’accroissement à venir, précise Laurent Maury Thales Exécutive pour Reuters. Aujourd’hui, Thales dirigé par Patrice Caïn, annonce l’intégration de Gemalto et compte de nombreux partenaires privilégiés tels que l’opérateur Orange, ou des firmes comme Atos ou Raytheon. Thales obtient la qualification QE de sa sonde souveraine comme le stipule son communiqué de presse du 04/04/2019.A quelques jours d’intervalle GateWatcher annonce son accord stratégique avec Orange Cyber sécurité dans son communiqué de presse du 17/04/2019. Finalement, tout se passe comme si chacun semblait avoir trouvé sa place. Mais la pression est maintenue, si l’on en croit la « visibilité persistante » sur le web de ce genre de cyber-attaque inopinée contre Thales.
Alexandre Schmitt