DEFENSE CONNECT :

dialogue etat-industrie

20 Novemrbre 2019

« Le développement sécurisé : une nécessité opérationnelle de cyberdéfense »
&
« La donnée : prérequis au big data et à l’intelligence artificielle »

 

Dans le cadre de la 4e European Cyber Week, le ministère des Armées (COMCYBER, DGA, DGNUM) propose une conférence « Défense Connect » délocalisée à Rennes le mercredi 20 novembre 2019, de 13h30 à 15h30.

Au cours de cette après-midi, deux tables rondes permettront d’entretenir le dialogue entre représentants du ministère, grands donneurs d’ordre et industrie (start-ups, PME, grands groupes), dans une logique de pragmatisme, de cas d’usages concrets et de démarches agiles.

La première table ronde portera sur la thématique du développement sécurisé : « secure by design », « dev sec ops », « homologation continue »… Pourquoi et comment s’agit-il, aujourd’hui plus que jamais, d’une nécessité opérationnelle pour la cyberdéfense ?

La transformation numérique est une course de vitesse et les méthodes de développement ont dû s’adapter. Le développement agile devient la norme au ministère des Armées et, bien sûr, la prise en compte de la sécurité a évolué en conséquence :

Tout d’abord la notion de « secure by design » consiste à adopter des principes de développement apportant de la confiance : par exemple, l’utilisation de code open source ou des principes du moindre privilège compliquent la vie d’un attaquant.

Le développement sécurisé (dev sec ops) doit permettre aux développeurs d’accéder à des librairies partagées, auditées et corrigées en continu, voire testées sous forme de bug bounty : il en résulte des briques éprouvées qui augmentent la confiance dans les développements et, finalement, diminuent les possibilités pour un attaquant de porter atteinte aux systèmes.

Mais la démarche de sécurisation ne s’arrête pas là : l’homologation continue, qui consiste à mesurer les risques résiduels tout au long du développement et de les présenter « en continu » à l’autorité d’homologation, qui décide ou pas d’assumer les écarts éventuels observés avec le modèle de référence, permet d’éviter une trop grande divergence entre les besoins de sécurité initiaux et le produit final : c’était malheureusement le constat général observé dans les classiques cycles en V, où on se voyait obligé de mettre en service des systèmes vulnérables, sur lesquels il était alors très coûteux d’appliquer une couche de sécurité.

La seconde table ronde abordera la problématique de la donnée : quelle gouvernance ministérielle pour dépasser les silos ? Quelle organisation collective pour favoriser l’acculturation, le recrutement et la confiance ? Comment s’appuyer sur le foisonnement et l’expérimentation, vus comme des axes de progression ? Quelle architecture au service de la donnée, aussi bien pour sa collecte que pour son stockage, sa valorisation et sa circulation ? Quels projets, pour le ministère, en lien avec l’industrie, notamment dans le domaine de l’intelligence artificielle, à l’horizon des 2 ou 3 prochaines années ?

13h30-13h45 : Intervention d’ouverture par le COMCYBER

GDA Didier Tisseyre

13h45-14h25 : Table ronde 1 sur le développement sécurisé

  • Animation-cadrage : Eric Alardet, DGNUM

  • Thibault Cassan, DGA MI

  • David Eudeline, DGA MI

  • Karim Ayadi, Thales

  • Dialogue avec la salle

 

14h25-14h35 : présentation de la Cyber Défense Factory par la DGA

Jean Marchal

14h35-15h15 : Table ronde 2 sur la donnée

  • Animation-cadrage : Hervé Cicchelero, DGNUM

  • Bertrand Blond, COMCYBER

  • Ronan Le Béhérec, DGA

  • Karim Battata DATAIKU

  • Représentant PME

  • Dialogue avec la salle

 

15h15-15h30 : Intervention de clôture par le DGNUM

VAE Arnaud Coustillière, DG de la Direction générale du numérique (DGNUM) au ministère des Armées