La captation d’informations relatives à l’activité scientifique et technologique d’une nation met à mal sa stabilité et sa compétitivité. Évoqué lors du dernier sommet des Five Eyes, la protection du potentiel scientifique et technique des nations nécessite des mesures de cybersécurité maximales.
Définition du potentiel scientifique et technique
Le potentiel scientifique et technique de la nation constitue « l’ensemble des biens matériels et immatériels propres à l’activité scientifique fondamentale et appliquée au développement technologique de la nation française ». En d’autres termes, il s’agit de savoirs et de savoir-faire hautement stratégiques et de technologies sensibles, produits et développés au sein d’établissements publics et privés sur le territoire national. Leur accès ainsi que leur protection sont ainsi formellement réglementés.
Une première protection : le dispositif PPST
Depuis 2011, la France a mis en place la Protection du Potentiel Scientifique et Technique (PPST). Ce dispositif réglementaire de sécurité, de niveau interministériel, piloté par le Secrétariat général de la Défense et de la Sécurité nationale (SGDSN), concerne 6 ministères :
- Ministère de l’agriculture
- Ministère de la défense
- Ministère du développement durable
- Ministère de l’économie et des finances
- Ministère de la santé
- et Ministère de l’Enseignement supérieur, de la Recherche et de l’Innovation
Il vise ainsi à prévenir toute fuite ou tentative de captation de ces informations sensibles, grâce notamment à la création de zones à régimes restrictif (ZRR). Celles-ci, lieux de recherche ou de production par exemple, présentent un intérêt fort pour la nation. Un contrôle strict des accès physiques ou virtuels aux informations sensibles y est donc opéré.
Le PPST complète d’autres systèmes de sécurité. Comme par exemple, celui pour la protection des Organismes d’importance vitale (OIV) ou du secret de la défense nationale.
Quels sont les risques en cas d’exposition de ces informations sensibles ?
En cas de captation, ces informations relatives au potentiel technique et scientifique de la nation peuvent être détournées. Et ce, à des fins de déstabilisation ou criminelles. Il existe ainsi 4 catégories de risques :
- Atteinte aux intérêts économiques de la nation
- Développement d’arsenaux militaires
- Prolifération des armes de destruction massive
- Terrorisme
Secteurs concernés
Voici les différents secteurs scientifiques et techniques concernés par le PPST :
- la biologie,
- la médecine,
- la santé,
- la chimie,
- les mathématiques,
- la physique,
- les sciences agronomiques et écologiques,
- les sciences de la terre, de l’univers et de l’espace,
- les sciences et technologies de l’information et de la communication
- les sciences de l’ingénieur…
Ainsi, des laboratoires de recherche, des entreprises et des universités ont besoin d’être protégés des risques d’interception de données.
Protéger le potentiel scientifique et technique du cyberespionnage
L’accès aux ZRR peut être physique mais aussi virtuel. C’est pourquoi, la sécurité des systèmes d’informations constitue un enjeu majeur pour protéger le potentiel scientifique et technique du cyberespionnage.
Sécuriser les systèmes d’informations à régime restrictif (SIRR)
Un système d’information à régime restrictif (SIRR) fait transiter des informations à régime restrictif (IRR), c’est-à-dire sensibles et dont leur divulgation présenterait un ou plusieurs des risques précédemment cités. Leur accès constitue donc un accès virtuel à une zone RR. À noter que les SIRR sont soumis à l’instruction interministérielle n°901 sur la protection du secret et de la défense nationale.
Dans le guide de la protection numérique du potentiel scientifique et technique de la nation publié par l’ANSSI figure une liste de mesures de sécurité à mettre en œuvre par les organisations disposant d’un SIRR. Parmi elles, le déploiement d’une politique de sécurité des systèmes d’informations (PSSI). Celle-ci liste l’ensemble des bonnes pratiques et procédures en matière de sécurité informatique à respecter par les collaborateurs et autres parties prenantes.
En effet, le SIRR englobe tous types de supports et équipements électroniques : ordinateurs portables, clés USB ou serveurs… et suppose donc en parallèle une sensibilisation à la cybersécurité des utilisateurs.
Exemples de mesures de sécurité à mettre en place :
- chiffrement des communications
- chiffrement des disques durs des postes de travail
- contrôle d’accès
Veiller à la sécurité des postes de travail
Les postes de travail contiennent un certain nombre d’informations sensibles qui doivent être protégées. L’ANSSI rappelle l’importance de supprimer l’entièreté des données présentes sur un poste de travail, avant une réattribution de matériel. De la même façon, il est essentiel de supprimer les droits d’accès aux systèmes d’informations, dès la fin de période d’emploi d’un utilisateur.
Utiliser une technologie de chiffrement de bout en bout des communications
Les outils de communication déployés dans les entreprises, notamment dans des établissements en zone RR, doivent répondre à un niveau de sécurité maximale. D’abord, la solution utilisée doit être Secure by design et respecter ainsi un certain nombre de critères de sécurité, de sa conception jusqu’à son déploiement dans l’organisation. Ainsi, son impact sur la sécurité du réseau de l’entreprise sera nettement diminué voire nul. D’autre part, les communications échangées sur des messageries en ligne ou en visioconférence sont la cible d’espionnage informatique et industriel. Seule une technologie de chiffrement de bout en bout des flux de communications audio, vidéo et data peuvent éviter la récupération de ses données.
Faire preuve de la plus grande réactivité en cas d’attaque
En cas de crise cyber, une solution de communication sécurisée et d’urgence est également indispensable pour assurer la continuité d’activité de l’établissement. Elle doit permettre aux collaborateurs de poursuivre leurs échanges grâce à un canal de communication « out of band », c’est-à-dire différent de celui utilisé habituellement.
Le logiciel de visioconférence sécurisée Tixeo, certifié et qualifié par l’ANSSI, répond à ce besoin. Grâce à sa technologie de chiffrement de bout en bout souveraine et son déploiement hautement sécurisé en version on-premise, il permet d’accompagner les établissements dans leur gestion de crise et leur cyber-résilience.
Premier sommet des Five Eyes sur le sujet en 2023
Les 16 et 17 octobre 2023 a eu lieu pour la première fois un sommet des Five Eyes sur la thématique de la protection du potentiel scientifique et technique de la nation.
Lors de ce sommet, les 5 pays de la coalition (États-Unis, Royaume-Uni, Canada, Australie, Nouvelle-Zélande) ont alerté sur les menaces qui pèsent sur l’innovation et la recherche. Plus particulièrement, le gouvernement chinois a été ciblé comme principal danger pour l’innovation et les intérêts des nations. « Le gouvernement chinois est engagé dans le vol de propriété intellectuelle et l’acquisition d’expertise la plus soutenue et sophistiquée, qui n’a aucun précédent dans l’histoire de l’humanité », a déclaré Mike Burgess, directeur général des services de renseignement australiens. Les opérations d’espionnage industriel, d’origine chinoise, connaissent en effet une hausse sans précédent. « Les secteurs de l’intelligence artificielle, de l’informatique quantique et de la biologie de synthèse sont particulièrement ciblés en ce moment. ». Une recrudescence du cyberespionnage d’origine étatique qui n’épargne pas non plus les pays européens.
Le document Cinq principes pour sécuriser la recherche et l’innovation, publié à l’issue du sommet, présente plusieurs préconisations pour maximiser la protection du potentiel scientifique et technique. Parmi elles : la connaissance et gestion des risques cyber, la protection de l’environnement de travail, la sensibilisation des collaborateurs ou encore la sécurisation des partenariats, fournisseurs et prestataires de services.