Intervention de Jean-Luc Moliner

Commission des affaires étrangères, de la défense et des forces armées — Réunion du 21 février 2013 : 1ère réunion
Audition publique organisée conjointement avec l'office parlementaire d'évaluation des choix scientifiques et technologiques et la commission de la défense de l'assemblée nationale

Jean-Luc Moliner, directeur de la sécurité, Orange :

La panne du 6 juillet 2012, qui a entraîné l'indisponibilité du réseau pendant 11 heures, n'était pas le résultat d'une attaque, mais le résultat d'une panne technique d'un élément essentiel de notre coeur de réseau.

Orange est à la fois un opérateur international présent dans plus de 170 pays à travers le monde, gérant un réseau d'interconnexions mondial, et un prestataire de services fournissant des réseaux fermés aux principaux services de l'État et des transmissions aux services de la défense aérienne ou de la coordination du trafic aérien. L'interconnexion est l'élément fondateur de l'explosion actuelle des télécommunications. C'est le moteur de la vie que connaîtront demain tous les citoyens.

Les interconnexions permettent aux individus un partage dynamique et fluide de l'information. N'importe où dans le monde, on peut aujourd'hui se connecter avec des délais de réponse inférieurs à quelques secondes, voire à la seconde. L'interconnexion est démultipliée par l'« Internet des objets ». Des millions d'objets sont déjà connectés à des réseaux intelligents. Demain, on en comptera des milliards. Cette déferlante est tournée vers l'optimisation des « réseaux intelligents » ou de la « ville intelligente ».

Cette évolution a des effets que certains peuvent juger pervers, comme la possibilité de savoir combien de personnes viennent d'entrer dans la maison ou quel est votre profil d'utilisation de certains services - eau, électricité ou chauffage, par exemple.

Le marché des télécommunications explose : on comptait chaque mois 600 millions de gigaoctet en 2011, puis 1 300 millions en 2012. Ce chiffre doublera en 2013, pour atteindre 10 800 millions de gigaoctet par mois en 2016. Cette quantité d'informations doit circuler d'une manière parfaitement fluide, avec des taux de disponibilité élevés.

La structuration des réseaux a pour objet de transférer des contenus, qui circulent entre des data centers entre l'Asie, l'Europe et les États-Unis, et de permettre à un utilisateur d'avoir accès à ces données. Les profils d'utilisation sont très variés. Ainsi, 10 % des clients d'Orange consomment 70 % de notre bande passante.

L'une des questions qui peuvent se poser aux armées est celle de savoir où dans le système se situe la puissance de calcul - près des données ou près des utilisateurs -, ce qui pose des problèmes d'architecture assez compliqués.

L'interconnexion provoque des problèmes de sécurité dans notre propre écosystème comme avec les écosystèmes avec lesquels nous pouvons être interconnectés.

Au-delà des questions de disponibilité, les problèmes intérieurs sont principalement dus au comportement des usagers. Nos clients ne sont pas sensibilisés à ces questions et tous les opérateurs de télécoms ont parmi leurs clients un pourcentage assez significatif de gens qui hébergent des réseaux de Botnet, malwares qui vont à leur tour attaquer d'autres systèmes.

En France, des réglementations nous empêchent d'avertir de manière proactive le client qu'il est infecté. Les attaques, quant à elles, sont massives. Ainsi, l'an dernier, des flux de données de 40 gigabits par seconde circulaient sur notre réseau en direction de quelques cibles, provoquant des effets collatéraux assez importants. Ces données provenaient du monde entier dans des attaques coordonnées. Nous savons gérer des attaques de ce type, mais elles perturbent profondément les réseaux pendant plusieurs heures et leur généralisation poserait à terme d'importants problèmes.

Nous sommes par ailleurs handicapés par l'industrie du logiciel. Le développement mal maîtrisé du langage Java, fourni par la société Oracle, est à l'origine de nombreuses failles installées chez tous les clients utilisant ce type de logiciels et nous ne disposons pas de normes ou de processus permettant de garantir que les logiciels, même destinés au grand public, présentent un niveau de sécurité acceptable. Du reste, la diffusion de logiciels de mauvaise qualité ne cause aucun dommage à la société Oracle.

Des problèmes de filtrage se posent au niveau des frontières. Le monde des télécoms a en effet été imaginé par des gens bien élevés qui n'ont pas envisagé les attaques massives que nous connaissons et qui, pour nous, se traduisent principalement par de la fraude.

L'interconnexion des réseaux au profit des différentes armées ou du Gouvernement est un peu plus simple, car un réseau fermé d'abonnés permet un niveau de sécurité que la DGA ou le Secrétariat général de la défense nationale peuvent juger satisfaisant. En revanche, la sécurité des équipements de réseau pâtit d'un système relativement hétérogène, comprenant des matériels provenant d'une douzaine de fournisseurs dont les centres de développement et de fabrication sont établis principalement en Asie, y compris pour des sociétés américaines ou européennes. L'une des difficultés consiste donc à s'assurer que les équipements que nous sommes contraints d'acheter chez eux présentent un niveau de qualité suffisant. Faute de pouvoir vérifier toutes les lignes de code fournies, il nous faut assurer une gestion du risque sur le fonctionnement normal de certains événements. Qui plus est, les évolutions de ces logiciels sont relativement fréquentes, avec des paliers technologiques tous les six à neuf mois. Maintenir une infrastructure mondiale de télécoms qui soit à la fois intègre et disponible et qui puisse satisfaire l'ensemble des objectifs que nous nous sommes fixés est un véritable challenge.

L'interconnexion des systèmes d'information suppose, pour permettre la surveillance de nos propres systèmes, l'intégrité des informations qui remontent, afin d'éviter le déclenchement intempestif de systèmes automatiques d'autoprotection face aux attaques.

Aucun commentaire n'a encore été formulé sur cette intervention.

Inscription
ou
Connexion