Close

Panorama de l’écosystème indien de la cybersécurité

L’Inde figure aujourd’hui parmi les pays les plus ciblés et les plus vulnérables aux cyberattaques. En 2017, l’Inde était le 2e pays le plus atteint par les attaques ciblées et les malwares visant les mobiles, le 4e pays le plus touché par les rançongiciels[1], et le 3e pays le plus affecté par Wannacry[2].

Pourtant, l’Inde a assez rapidement identifié la cybersécurité comme un enjeu majeur. Dès 2000 elle adopte l’Information Act, révisé et complété en 2008 pour devenir l’Information Technology (Amendment) Bill. La même année, l’Indian Computer Emergency Response Team (CERT-In) créé en 2004 voit ses prérogatives s’étendre de la simple réponse aux incidents à la collecte, l’analyse et le partage d’informations, l’anticipation et l’alerte  la prise de mesures d’urgence et la coordination de la réponse à incident[3]. En 2013, la National Cybersecurity Policy (NCSP), non contraignante, appelle  quant à elle, à la protection des informations et des infrastructures du cyberespace ou encore le développement des capacités de défense.

Les dirigeants indiens ont en effet bien conscience de l’effort à fournir pour protéger les systèmes d’information (SI) nationaux et développer une filière industrielle indienne de la cybersécurité. C’est tout l’objet des initiatives « Make in India » (2014) et « Digital India » (2015). La première vise à faciliter l’investissement et l’innovation, à protéger la propriété intellectuelle, et à encourager la construction d’infrastructures dédiées à la production de matériel informatique (hardware). La seconde prévoit d’augmenter les services gouvernementaux en ligne et d’améliorer l’accès à internet des citoyens.

Les résultats de ces efforts pourraient cependant être longs à émerger. Le manque d’organisation et de coordination entre les entités gouvernementales chargées de la cybersécurité, l’absence d’agence nationale de la sécurité des systèmes d’information et la collaboration encore insuffisante entre acteurs publics et privés ralentissent et limitent en effet l’efficacité des politiques lancées.

LA CYBERSÉCURITÉ EN INDE : UNE ACCUMUMLATION D’ACTEURS ÉTATIQUES AUX PREROGATIVES REDONDANTES

Au niveau gouvernemental, les politiques et structures nationales chargées de la cybersécurité sont chapeautées par quatre organes :

  • Le MeitY, le ministère de l’Électronique et des Technologies de l’Information, dont dépend notamment le CERT-IN et le conseil d’administration en charge des certifications de qualité et de conformité[4];
  • Le ministère de l’Intérieur qui encadre des forces de police spécialisées dans la cybercriminalité ;
  • Le ministère de la Défense dispose lui de deux structures de recherche : la Defence Information Assurance and Research Agency et la Defence Research and Development Organisation (DRDO). Certains laboratoires de la DRDO se spécialisent sur les problématiques IT telles que la gestion de la sécurité de l’information, l’intelligence artificielle, l’extraction de données ou encore les technologies de cybersécurité[5]. La DRDO développe également des outils souverains pour le ministère de la Défense indien tels que des radios logicielles[6]. Parallèlement, chacun des trois corps d’armée, fonctionnant de manière cloisonnée, s’est doté de ses propres unités spécialisées pour ses réseaux.
  • Le National Security Advisor, rattaché au cabinet du Premier ministre, dirige la National Technical Research Organisation chargée de prendre les mesures nécessaires pour protéger les infrastructures critiques et faire face aux cyber-incidents dans les secteurs critiques[7].

Chaque ministère intervient via ses structures dédiées et espère s’illustrer dans le domaine de la cybersécurité sans coordonner ses actions avec celles des autres ministères et sans se soucier de leur éventuelle redondance. La cybercriminalité par exemple, est traitée à plusieurs niveaux. Ainsi, le ministère de l’Intérieur a pris des mesures de prévention des actes de cybercriminalité à l’encontre des femmes et des enfants (Cyber-Crime Prevention against Women & Children – CCPWC) tandis que le National Cybersecurity Coordination Centre (NCCC) du MeitY lutte quant à lui contre la cybercriminalité à travers la surveillance des flux sur les réseaux privés et publics et l’analyse des métadonnées des communications[8].

L’absence de structure nationale spécifique à la gestion du cyberespace, telle l’ANSSI* en France, permettant précisément d’orienter et de coordonner le travail des acteurs existants, explique en partie cette situation. Cette structure surplombante est pourtant réclamée aussi bien par des organes de l’État que par des sociétés privées (le Data Security Council of India ou la National Association of Softwares and Services Companies)[9].

Ce manque de coordination est enfin aggravé par le caractère embryonnaire de la collaboration public-privé. Le volet défense de la campagne « Make in India » qui devait faciliter l’accès des sociétés privées (nationales ou étrangères) à l’industrie de la défense, et permettre aux industries de soumettre des suggestions, pourrait cependant partiellement pallier le manque de collaboration entre les secteurs public et le privé.

LES ACTEURS PRIVÉS DE LA CYBERSÉCURITÉ INDIENNE : VERS UNE FILIERE INDIENNE DE LA CYBERSECURITE

L’un des volets de la politique « Make in India » prévoit, à terme, la réduction de la dépendance indienne vis-à-vis des importations en technologies de l’information d’ici à 2025 au profit du développement de matériels et de logiciels conçus et produits en Inde pour le marché indien.

Mais la mise en œuvre de cette politique est ralentie par la structure même de l’industrie indienne essentiellement composée de petites et moyennes entreprises qui ne détiennent pas les ressources nécessaires pour attirer les employés les plus qualifiés ou mener les changements structurels nécessaires à la production in situ de matériels informatiques (hardwares).

Toutefois, l’Inde demeure un pays propice au développement de logiciels et d’applications, notamment grâce à son économie basée principalement sur les services et à une main-d’œuvre foisonnante dans le domaine des technologies de l’information. L’investissement dans les startups indiennes a atteint 100 millions de dollars en 2017 (contre 1 million en 2012) et a favorisé leur émergence dans le domaine. On peut ainsi citer des sociétés comme Security Brigade, spécialisée dans la sécurité des applications ou Lucideus technologies qui propose des formations, des services SOC et des tests d’intrusion et de vulnérabilité[10]. Malgré les financements reçus et l’accès à une main d’œuvre qualifiée, ces sociétés n’ont cependant pas atteint les marchés mondiaux. L’Inde compte également des SSII de rang international telles qu’Infosys, Tata Consultancy Services ou 3i Infotech. Des pures players de la cybersécurité se distinguent enfin, tels que Hicube, qui vend des solutions VA/PT à plusieurs administrations de police, ou Cyberoam qui produit notamment des routeurs, pare-feux, UTM…[11]

Dans un contexte marqué d’une part par des cyberattaques régulières et d’autre part par l’essor des services en lignes prévu par la campagne « Digital India », la demande en services de cybersécurité croît dans tous les secteurs (gouvernements, grandes industries automobile ou IT, banques et compagnies d’assurance) et pourrait donc bénéficier aux sociétés indiennes. Deux autres initiatives récentes devraient leur permettre de trouver de nouveaux débouchés et de diversifier leurs solutions, tout en les contraignant à plus de rigueur.[12] D’abord en 2017, la décision du MeitY d’appliquer un critère de préférence nationale dans l’acquisition de solutions logicielles et matérielles de cybersécurité par tous les ministères, conformément aux orientations de l’initiative « Make In India ». Ensuite, la publication en juillet 2018 d’une version préliminaire de la Personal Data Protection Bill[13] destinée à clarifier les statuts juridiques de la vie privée et de la protection des données et renforcer ainsi un cadre normatif flou et peu contraignant. Celui-ci constituait en effet un enjeu de taille pour l’Inde, principale destination de l’outsourcing des sociétés étrangères d’IT[14].

PERSPECTIVES

Tandis que l’absence d’agence nationale en charge de la cybersécurité freine l’exécution des politiques nationales, l’Inde ne semble pas pour le moment être en mesure de remédier à la juxtaposition d’infrastructures de cybersécurité aux activités redondantes. La filière nationale de la cybersécurité, encore en cours de constitution, est malgré tout soutenue par l’Etat indien et pourrait à terme se développer à l’international.

En matière de cyberdéfense, le ministère de la Défense entend toujours concrétiser la mise en place du Tri-service Cyber Command, une structure de cybersécurité interarmées évoquée depuis 2014 destinée à remédier au cloisonnement des trois corps et dont l’existence est d’autant plus nécessaire que la notion de guerre cyber figure désormais dans la version préliminaire de la Defence Production Policy de 2018[15].

La politique de coopérations internationales et principalement bilatérales avec des partenaires européens, américains ou asiatiques dans des domaines comme le partage de connaissances et d’expériences en matière de détection, de résolution et de prévention,[16] pourrait toutefois permettre à l’Inde de monter en compétences[17] et de développer ses capacités de cyberdéfense malgré ces limitations organisationnelles et structurelles.[18]

 

[1] https://www.symantec.com/content/dam/symantec/docs/reports/istr-23-2018-en.pdf

[2] Wannacry est un rançongiciel qui tirait profit d’une faille du système d’exploitation Windows XP.

[3] http://meity.gov.in/content/icert

[4] https://www.opengovasia.com/article/indian-ministry-of-defence-plans-to-strengthen-the-countrys-cybersecurity et http://meity.gov.in/content/icert

[5] https://www.drdo.gov.in/drdo/English/index.jsp?pg=dg-med-and-cos.jsp

[6] https://www.drdo.gov.in/drdo/labs1/DEAL/English/indexnew.jsp?pg=homepage.jsp

[7] http://www.pib.nic.in/PressReleseDetail.aspx?PRID=1540827

[8] https://www.opengovasia.com/article/the-current-state-of-cyber-security-in-india et https://www.indiatoday.in/education-today/gk-current-affairs/story/nccc-cyber-india-1029203-2017-08-11

[9] https://www.dsci.in/content/gulshan-rai-becomes-first-chief-cyber-security-post-created-tackle-growing-e-threats-0

[10] https://www.securitybrigade.com/ et http://www.lucideus.com/service/

[11] http://www.hicube.in/ ; https://www.cyberoam.com/

[12] https://www.thehindubusinessline.com/info-tech/cyber-security-start-ups-attract-big-funding/article24381880.ece

[13] https://www.forbes.com/sites/sindhujabalaji/2018/08/03/india-finally-has-a-data-privacy-framework-what-does-it-mean-for-its-billion-dollar-tech-industry/#4371ba1a70fe

[14] https://thelawreviews.co.uk/edition/the-privacy-data-protection-and-cybersecurity-law-review-edition-4/1151286/india; des sociétés de l’IT américaines (IBM, Dell, HP) et européennes (Capgemini) sont implantées en Inde (https://www.silicon.fr/superpuissance-outsourcing-inde-controle-56-mondial-146988.html?inf_by=57923adb2ad0a1b0274846e7).

[15] https://currentaffairs.gktoday.in/tags/defence-cyber-agency et

[16] https://www.bestcurrentaffairs.com/india-uk-mou-cyber-security/

[17]L’Inde approfondit surtout ses relations avec Israël dans le domaine de la cybersécurité notamment pour bénéficier des investissements et l’innovation israéliens https://economictimes.indiatimes.com/news/politics-and-nation/india-israel-ink-nine-pacts-on-cyber-security-other-sectors/articleshow/62507272.cms

[18] L’Israel National Cyber Directorate (INCD) voudrait même collaborer avec l’Inde pour l’édification de cyber-boucliers étatiques https://tech.economictimes.indiatimes.com/news/corporate/israel-looks-to-collaborate-with-india-other-countries-to-build-cyber-shields/64802121