AMAN défis strategiques confiance numérique 28 Juin 2011
1. 20/07/2016
1
Défis stratégiques de la
confiance numérique
au Maroc
Anas ABOU EL KALAM
Association Marocaine de confiAnce Numérique
(AMAN)
28 juin 2011Digital Trust Meeting 2Anas Abou El Kalam
Agenda
• Confiance numérique
• La stratégie du Maroc
• Les défis
• Conclusions
3Anas Abou El Kalam
Agenda
• Confiance numérique : pourquoi ?
• La stratégie du Maroc
• Les défis
• Conclusions
4Anas Abou El Kalam
Le numérique : Pourquoi ?
L’usage des TI est un facteur essentiel pour l’émergence de
==> la société du savoir
==> développement humain, amélioration de la cohésion sociale
==> croissance de l’économie nationale
L’accès à l’info et son usage conditionnent le progrès et le développement
– Secteur des TI : 7% du PIB mondial
– Drainent près de 25% de la croissance mondiale
– Plus de 60% des emplois dans le monde industrialisé.
2. 20/07/2016
2
5Anas Abou El Kalam
Maroc Numérique 2013 : ambitions
Source : MICNT 6Anas Abou El Kalam
Agenda
• Confiance numérique : pourquoi ?
• La stratégie du Maroc
• Les défis
• Projets de recherche
• Conclusions
7Anas Abou El Kalam
Maroc Numérique 2013 : confiance
8Anas Abou El Kalam
RH spécialisées dans les NTIC (30 000 profils ??).
« Confiance numérique »
cadre législatif,
structures pour la sécurité informatique
sensibilisation des acteurs sur les problématiques de sécurité
Maroc Numérique : mesures
Diverses entités :
Conseil national des technologies de l’information et de l’economie
numérique (présidée par le Premier ministre),
ma-CERT (Centre de coordination et de réponse aux incidents ),
Prestataire de service de certificats électroniques,
Commission nationale des protection des données personnelles
…
3. 20/07/2016
3
9Anas Abou El Kalam
Propriété Intellectuelle
Loi 34-05 : droits d'auteur et droits voisins.
Transactions électroniques
Loi 53-05 relative à l’échange électronique de données juridiques.
Crimes Informatiques
Loi 07-03 : répression infractions relatives au TAD
Protection des données personnelles
Loi 09-08 : protection des données personnelles.
Commerce électronique
Loi 01-08 : protection du consommateur (vente électronique, publicité
en ligne, publicité indésirable, courrier électronique, ....)
Maroc Numérique 2013 : cadre législatif
10Anas Abou El Kalam
Les cyber-attaques coûte plus de mille milliards de $ chaque année,
Plus de 650 000 SI sont aujourd'hui infectés
Assurer la sécurité informatique au sein des organismes publics en vue
de renforcer la confiance numérique
Détection précoce et prévention contre les menaces
Traitement opérationnel des incidents informatiques
Mise en oeuvre d’un système de détection des attaques
Centralisation des demandes & Coordination de la réaction
Assistance aux organismes publics
Sensibilisation & Diffusion d'infos sur les précautions à prendre
Réalisation des audits et des évaluations.
...
Maroc Numérique 2013 : ma-CERT
11Anas Abou El Kalam
Cadre législatif
Mise en place de structures organisationnelles
Ma-CERT
Comité de sécurité
Comission nationale de protection des données personnelles
...
Tiers de confiance ; prestataire de service de certification
Processus d'agrément de Barid Al Maghrib
Sensibilisation & formation
… Le Maroc a été classé par le rapport du forum économique
international comme troisième pays arabe qui utilise les TIC.
Maroc Numérique 2013 : bilan +
12Anas Abou El Kalam
Agenda
• Confiance numérique : pourquoi ?
• La stratégie du Maroc
• Les défis
• Projets de recherche
• Conclusions
4. 20/07/2016
4
13Anas Abou El Kalam
Défis : stats ...
Sur 132 pays, le Maroc est classé
96 place en ce qui concerne l’innovation,
75 rang pour l’utilisation des TIC par les entreprises et
89 rang en ce qui concerne les lois relatives aux TIC
Facebook note que le Maroc est le 3e pays avec les membres les plus jeunes
pour un nombre d’utilisateurs de près de 2 millions…
14Anas Abou El Kalam
Défis : transforamtion sociale urgente ...
Chaque axe de la stratégie porte les chances de son succès et les risques de son
échec
Sur le volet transformation sociale, le Maroc part de très loin...
Les disparités (informatisation & accès internet) entre milieu rural et milieu
urbain sont très profondes (jusqu’à 52 points d’écart).
Catégorie A (revenu > 18 000 Dh) :200 000 foyers sont connectés à 80%
Catégorie B(8 000 < revenu 18 000) : 400 000 foyers cnnectés à 15%
Catégorie C ( 3000 < revenu < 8000) : million à 15%
D et E (revenu < 3000 Dh) : 4,4 millions connectés à 2%.
==> L’utilisation des NTIC étant fortement reliée au taux d’alphabétisation du pays
… la sécurité aussi
15Anas Abou El Kalam
Défis : Education ...
la lutte contre la cybercriminalité doit commencer de l’école
comme on apprend aux enfants que le vole est un crime on doit aussi leur
apprendre que le plagiat, la fraude informatique sont aussi des crimes ...
==> révision des programmes scolaires est l’harmonisation de ces programmes
avec les besoins de l’évolution technologique
==> les jeunes doivent être la première population cible ...
Instaurer culture technologique voir même une culture de la sécurité sur le
terrain, auprès des différents acteurs sociaux et notamment de leurs aînés.
créer des passerelles entre tous les organismes intervenus dans la lutte contre la
cybercriminalité et les autres acteurs dans ce domaine à savoir les universités, les
entreprises et la société civile ...
16Anas Abou El Kalam
Défis : méthodologie d'enseignement ...
Nécessité d'une refonte de la méthodologie d’enseignement et d’apprentissage,
fondée sur une appropriation du multimédia et des NTIC dans la définition,
l’élaboration et la diffusion du savoir
L’école d’aujourd’hui est encore trop proche de celle pratiquée au XIXème siècle,
avec un professeur transmettant un savoir de manière unidirectionnelle devant des
élèves passifs.
Cela ne peut plus répondre aux aspirations de nos jeunes qui, en sortant de
l’école chaque soir, se retrouvent connectés à une réalité numérique à mille
lieux de ce qu’ils ont vécu dans la journée ».
5. 20/07/2016
5
17Anas Abou El Kalam
Défis : questions ouvertes
Comment cybercriminalité affectera l’émergence de l’économie du savoir ?
Comment peut-elle freiner le rôle des TIC dans l’économie du savoir ?
Comment un pays en développement comme le Maroc ayant des accords de libre
échange avec les puissances technologiques peut-il faire face à la cybercriminalité et
à son impact sur l’économie nationale ?
Cadre légal marocain permet- il de lutter convenablement contre ce fléau ?
La réponse à ces questions sera d’après deux points essentiels :
L’insuffisance du cadre légal marocain pour lutter contre la cybercriminalité
les réformes nécessaires pour la lutte contre la cybercriminalité.
18Anas Abou El Kalam
Défis : insuffisance cadre légal
La cybercriminalité évolue vite “par le même rythme de l’évolution des TIC”, par
contre le cadre juridique marocain est lent (discussion, vote, application).
Décalage à deux niveaux.
entre l’évolution rapide des TIC et de la cybercriminalité & l’évolution ou la
mise en œuvre du cadre juridique qui vise la lutte contre la cybercriminalité.
décalage entre promulgation d’une loi & sa mise en application voir même la
sa bonne application en considérant « la culture technologique » des juges.
droit pénal : difficulté de justifier certaines crimes, l’intention criminelle,
identifier les auteurs et de poursuivre les infractions commises par Internet.
Absence de loi cadre pour la cybercriminalité qui considère spécificité de ces
crimes et des outils techniques permettant de prouver l’existence ou non du délit.
19Anas Abou El Kalam
Défis : insuffisance cadre légal
Insuffisance de règles juridiques concernant le commerce électronique
Ambiguité de la loi 53-05 relative à l’échange électronique (titre II :
signature, cryptographie et certification) dont le champ d’application est
indéterminé.
Loi n°34-05 a parlé des droits d’auteurs et des éditions d’une manière générale,
alors que les éditions électroniques, le contenu des sites Web et les éditeurs de pages
Web ont des spécificités qui exigent des règles juridiques spécifiques
Loi n°09-08 relative à la protection des personnes physiques à l’égard du
traitement des données à caractère personnel n’est pas encore mise en œuvre.
20Anas Abou El Kalam
Défis : insuffisance cadre légal
Absence de jurisprudence concernant la cybercriminalité alors qu’elle joue un
rôle important dans l’enrichissement et l’évolution des lois.
Ainsi on se pose la question sur la compétence des juges en droit de
l’informatique et de l’internet.
Définitions communes entre technicien, magistrats, …
Interprétations des impacts juridiques que peuvent avoir les infractions
informatiques compte tenu de leur complexité.
==> on doit créer plus de passerelles entre l'univers informatique et celui des
juristes, avocats, majistrats, policiers, ...
6. 20/07/2016
6
21Anas Abou El Kalam
Défis : institutions ?
Comité de Sécurité des Systèmes d'Informations (CSSI)
Par def un comité ne propose que des actions ponctuelles, or pour pouvoir
piloter la confiance numérique,
==> il faut un travail structurel.
D'autres pays ont mis des agences nationales de la sécurité (ANSSI)
Ma-CERT
Ne dispose pas de palteforme de signalement qui permet aux internautes de
siganler des sites illicites (pédopornographiques, incitation à la haine,
raciales, terrorismes, spams, ...)
22Anas Abou El Kalam
Défis : coopération des acteurs
Mise en place d’une loi cadre qui pénalise la cybercriminalité et les décrets
d’application au lieu de ++ articles distribués dans différents textes juridiques.
Prévoir la formation de TOUS ceux et celles qui interviennent de près ou de loin
dans l’application de cette législation, notamment, les avocats et les journalistes
Le droit des TIC doit être considéré comme matière enseignée dans toutes les
disciplines comme est le cas de la législation du travail.
Le développement du numérique doit combiner
mobilisation gouvernementale,
initiatives privées & associatives ==> sensibilisation acteurs de la société
partenariats internationaux
Innovation
R&D, Poles de compétitivité // excellence en sécurité
23Anas Abou El Kalam
Défis : service publique ...
L'e-gouv a pour but de « rapprocher l’administration des besoins de l’usager en
termes d’efficacité, de qualité et de transparence ». … mais …
Plus de 40% de l’enveloppe globale de Maroc Numeric 2013 sont dédiés à l’e-
gouvernement (2,2 milliards de dirhams).
Budget USA en sécurité info : 600 milliards de dollards
Budget annuel NSA : 16 milliars de dollars
NU : Maroc se positionne au 140 / 192 en matière d’e-gouvernement, en terme
d’infrastructures et d’offres de service.
Rapport du ministère relatif à la modernisation du secteur public
un poste pour trois utilisateurs dans la fonction publique.
60% de ces postes sont connectés à Internet.
Seuls 20% des fonctionnaires disposent d’une adresse e-mail.
==> Une stratégie visant à l'ensemble des usagers de l'Administration se doit de
prendre en compte les réalités du pays ==> technologique & éducatif
24Anas Abou El Kalam
Défis : service publique ...
Moins de la moitié des entités du secteur public disposent d’un schéma directeur
deSI ou d’un plan informatique.
Moins de 5% des sites web offrent des télé-services transactionnels
Un seul site gouvernemental est classé dans les 100 principaux sites marocains.
En matière d’e-gouvernement, il y a les bons et les mauvais élèves.
disparité, hétérogénéité et manque de coordination entre entités publiques.
Ecarts de performance entre administrations dans les e-services qu'elles
proposent
7. 20/07/2016
7
25Anas Abou El Kalam
E-gouv
2009, Maroc se classait à la 140ème /192 avec un indice de 0,2
L’objectif affiché du Plan Numeric 2013 est d’atteindre un indice de 0,8 en 2013.
Ilest prévu de passer de 16 projets et services d’E-gouvernement en 2008 à 89
projets en 2013.
26Anas Abou El Kalam
Défis : e-gouv ...
Externalisation mais privacy
Permet à l'administratio de se concentrer sur ses métiers de base
Construire une architecture efficace et mutualisée
Continuité de l'offre et son adaptation aux attents, attaques, ...
Interropérabilité des sites
Nouvelles technos (XML, CMS, ...) MAIS plus de sécu …
Prendre des engagements de qualité
Référentiel de bonnes pratiques, charte qualité / sécurité, ...
Observer et mieux comprendre les usagers / attaquant
...
27Anas Abou El Kalam
Défis : mise à niveau PME/PMI ...
Les PME/PMI représentent 95% des entreprises nationales. Bon nombre n’ont pas
encore changé leur façon de travailler Pour investir dans les NTIC, les entreprises
doivent avior atteint une certaine maturité, une volontée de faire (transparence) …
28Anas Abou El Kalam
Défis : sécurité des IC
organisations, installations, équipements, biens logiques et physiques, qui a une
importance vitale ou critique pour le fonctionnement d’une économie, ou de la
société humaine et dont la défaillance, l’arrêt de fonctionnement ou la
dégradation peuvent avoir un impact potentiellement dramatique sur le bien-
être économique et social d’une nation.
8. 20/07/2016
8
29Anas Abou El Kalam
Défis : de la confiance vers la confiance justifiée
• Selon les points de vue (ou domaines d'application), on
s’intéresse à la capacité du système à :
– Être prêt à délivrer le service disponibilité (availability)
– Assurer la continuité du service fiabilité (reliability)
– Pouvoir être réparé et évoluer maintenabilité
(maintainability)
– Ne pas provoquer de catastrophe sécurité-innocuité
(safety)
– Éviter les divulgations illicites confidentialité
(confidentiality)
– Éviter les altérations intégrité (integrity)
30Anas Abou El Kalam
Défis : de la confiance vers la confiance justifiée
• Moyens de la SdF méthodes, outils et
solutions pour
y Fournir au système l'aptitude à délivrer un service
conforme à l’accomplissement de sa fonction
• Prévention
• Tolérance aux intrusions
y valider le système, pour donner confiance dans cette
aptitude
• Elimination (vérification, …)
• Prévision (Evaluation, ...)
31Anas Abou El Kalam
Agenda
• Research areas
• Recent projects
– MP6
– MAFTIA
– PRIME
– CRUTIAL
– ADCN+
– Newcom++
– Leurecom
• Research chalenges
32Anas Abou El Kalam
MAFTIA
Malicious-and Accidental-Fault Tolerance
for Internet Applications
Three main areas of work
Architecture: framework ensuring the dependability of distributed applications
Design of mechanisms and protocols
Dependable middleware
Large scale IDS
Dependable trusted third parties
Distributed authorisation mechanisms (N. Abgour, Y. Deswarte, ...)
Verification and assessment
Security ==> Dependability
Fault tolerance / intrusion tolerence
New autorization schema ...
9. 20/07/2016
9
33Anas Abou El Kalam
MP6 : Security Policies & Models for healthcare systems
• Partners
WP2
State of the art
WP3
Policies…
WP4
Models…
WP7 expl-C
Detection
WP6 expl-B
Anonymisation
WP5 expl-A
Authorization
WP8
Integrations
WP1
Administration
WP9
Promotions
• Organisation
Separation policy & implementation
Dynamic access control
Organizational access control
Conflict resolution 34Anas Abou El Kalam
PRIME
Privacy and Identity Management for Europe
Develop a working prototype of a privacy-enhancing Identity
Management System
To foster market adoption, novel solutions for managing identities are
demonstrated in challenging real-world scenarios:
Internet Communication,
Airline and Airport Passenger Processes
Location-Based Services
Collaborative e-Learning
Anonymity, Pseudonimity, Linkability, Observability, ...
35Anas Abou El Kalam
CRUTIAL
Critical Infrastructure
– logical/physical facilities of essential importance for public welfare,
– their failure / disruption could potentially a dramatic impact on economic and social
welfare of a nation, a society, or an economy
Examples
– Electric power grid: Electricity generation, transport and distribution
– telecommunications,
– supply services (energy, food, fuel, water, gas),
– transportations systems (roads, railways, airports),
– financial services (banks, stock exchange, insurances), ...
Cybersecurity?
– 2009 : cyber attack caused a generator to self-destruct
• "I can't say the vulnerability has been eliminated. But I can say a lot of risk has
been taken off the table," R. Jamison, undersecretary of DHS's National
Protection Directorate
– 2003: North America blackout ==> $6 billion of losses
Critical utility infrastructural resilience
36Anas Abou El Kalam 36
Internet Centre de
Contrôle
Centre de
Contrôle
Intra-organizational access control
Inter-organizational access control
E-contracts
Real-time Verification
10. 20/07/2016
10
37Anas Abou El Kalam
ADCN+
Objectives
– Study the architecture of new aircraft generation
• Network modeling, architecture, performances, supervision
• Security & QoS
New project :
Information Managment for
Avionics Platforms
Advanced Aircraft Data Communication
Network
38Anas Abou El Kalam
Feel@home
• Cooperation for a sustained European Leadership in
Telecom
• Mass market adoption of advanced audiovisual
networked services, at home and everywhere
• management of the digital entertainment, the
automatic Home Area Network management and
the handling of multi-user service offerings
39Anas Abou El Kalam
Leurecom
Honeypot
– An Internet-attached server that acts as a decoy, luring in potential hackers
– study their activities and monitor how they are able to break into a system
Leurecom
– Around 30 countries in the 5 continents
– Capture ==> Store ==> Enrich ==> Cluster ==> Analysis ==> Access
– Enables partners to see how differently they are attacked than others...
40Anas Abou El Kalam
Agenda
• Research areas
• Recent projects
• Research chalenges
– protection against terrorism and organised crime
– border security
– Critical Infrastructure Protection
– restoring security in case of crisis
11. 20/07/2016
11
41Anas Abou El Kalam
Challenge … For a country ...
• protection against terrorism and organised crime
• Border security
• Critical Infrastructure Protection (CIP)
• Restoring security in case of crisis
42Anas Abou El Kalam
Challenges
• Future of internet & internet of things challenges
– Scalability, dependability, resilience, realtime protocols, usability …
– Detection & Identification (False + / false -)
• Small boats in blue borders, abnormal crowd behaviour, dangerous
luggage in open areas, dangerous goods
– User & Society
• Trust, accountability, .... (privacy)
– Trustworthy service / network infrastructures
• privacy protecting interoperable services, adaptive frameworks
43Anas Abou El Kalam
Challenges
• Future of internet & cyber threats, cybercrime
– Critical infrastructures:
• complexe ICT systems and services,
• +/- open,
• Collaboration & suspicion
– + and + threats, economics of security
• ==> Understanding the attacks strategies, .... (up to date)
• ==> Security tools / Data collection framework will have to evolve
over time as attacks become stealthier or change focus
• ==> security and resilience in software services / security tools
– Evaluating / testing security tools ...
• ==> interoperable standards, certification,
• ==> international cooperation,
• ==> legal and societal aspects, ... 44Anas Abou El Kalam
Conclusion …
2003 : la Nasa et diverses institutions publiques et privées américaines essuient des
attaques informatiques coordonnées imputées à des hackers chinois et russes.
2007 : l’Estonie subit une attaque cybernétique qui paralyse tout le pays.
2008 : la Géorgie connaît le même sort.
Piratage compte N. Sarkozy et compte yahoo de Sarah Paline
2009 : Les données bancaires de 21 millions d'allemands à la vente
Perte de donnees : les prisons britanniques pointées du doigt
2010 : le virus Stuxnet est lancé contre le réacteur nucléaire de Bushehr en Iran.
2011 : « Anonymous », défenseur de Wikileaks, mènent l’opération « Payback »,
des attaques de dénis de services, contre diverses entreprises américaines.
…
...
12. 20/07/2016
12
45Anas Abou El Kalam
Evolution ...
Large consensus sur le fait que les attaques internet deviennent une sérieuse
menace ... et à tous les niveaux
Economie souterraine étallée géographiquement s'est développée
Génère des millions de dollards aux cybercriminels
Outils aidant aux fraudes facilement “achetables” sur internet
Exploits et kits d'attaques ont les prix les plus élevés
Informations personnelles vendues en ligne
Du simple individu malveillant aux groupes organisés, le but “tendance”
devient de plus en plus “gain d'argent” ...
46Anas Abou El Kalam
Evolution ...
Durée de vie moyenne de 10 jours
L'un des réseaux de serveurs IRC observés possédait environ 28000 canaux
et 90000 utilisateurs
Comptes en lignes : 63 %
Informations de cartes de crédits : 31% des ventes
Les jeux sont les plus touchés avec une marge significative : 49 %
Le web est devenue le point de distribution des maliciels et attaques
Les vulnérabilités visant les sites sont les plus répandues, avec pas assez de
patchs disponibles “à temps”
Six des “top 10” des maliciels sont des trojans
Les vers restent à 22% ...
Le pourcentage des virus augmente de 10 à 15% cette période
47Anas Abou El Kalam
AMAN ...
association scientifique et technique, sans but lucratif, apolitique et autonome.
rassemblement de la communauté des personnes physiques et morales concernées
par les thématiques liées à la confiance numérique :
Promouvoir l’innovation et le développement dans le domaine de la Sécurité des
Réseaux et Systèmes d'Information (SI).
Multiplier les échanges entre les acteurs de la Sécurité des Réseaux et SI
notamment les industriels, administrations, et organismes de recherche.
Mener une réflexion sur la formation classique et la formation continue en Sécurité
des Réseaux et Systèmes au Maroc.
Diffuser l'information scientifique par tous les moyens jugés utiles (conférences,
journal périodique d'information sur les activités de l'association, revues scientifiques
et supports NTIC liés à la sécurité des réseaux et systèmes).
48Anas Abou El Kalam
AMAN ...
* Organiser des activités socioculturelles pouvant impliquer d'autres associations, et
organismes nationaux et internationaux.
* Assurer les liens et les échanges avec la communauté scientifique internationale.
* Aider au montage de start-up et de projets recherche-industrie dans le domaine de la
sécurité des réseaux et systèmes.