, 12 tweets, 3 min read Read on Twitter
[Thread] [Team #Wargames] Comment est gérée la question des vulnérabilités dites "zero-day" en France, où on sépare les missions d'attaque et de défense ? Le 5 avril, @pierre_alonso écrivait ceci, à propos de la visite d'Emmanuel Macron dans les locaux de la DGA-MI à Bruz :
@pierre_alonso Du coup, comme l'@ANSSI_FR tenait aujourd'hui une conférence de presse pour la publication de son rapport annuel, j'ai demandé des précisions #DroitDeSuite ;)
Réponse de G. Poupard : «En pratique la doctrine française est très claire. Ça a été mentionné à plusieurs reprises. A chaque fois qu’il y a doute, le doute bénéficie à la défense.»
Qu'est-ce que ça veut dire ? Que si la DGA-MI a connaissance d'une vulnérabilité qui peut être corrigée, par ex «une faille dans Windows qui peut être patchée le mardi d'après», c'est transmis à l'Anssi.
Par contre, et c'est là la subtilité : dans le cas d'une faille «beaucoup plus compliquée» ou «impossible» à corriger, «la partie offensive peut s’autoriser à garder certaines vulnérabilités à des fins offensives».
«C’est une doctrine globale de la France» répond G. Poupard quand je demande si elle concerne aussi, au-delà de la DGA-MI, mettons, une agence de renseignement placée sous l'égide du ministère des Armées (#SuivezMonRegard)
Est-ce que les failles transmises à l'Anssi sont ensuite systématiquement répercutées aux éditeurs ? «Dans un contexte de "responsible disclosure", oui, bien sûr», «c'est tout l'intérêt de ce modèle français qui sépare l'attaque et la défense», ça évite «les conflits d'intérêt».
Reste une question, disons, intéressante ;) qui est celle du délai entre le moment où la vulnérabilité est connue de la partie offensive et le moment où la partie défensive en est informée.
Est-ce qu'il peut y avoir y a un délai ? Réponse : «Probablement. Par définition, je ne peux pas parler de ce que je ne connais pas. Je ne vois que ce qui m’est transmis, formellement.» ...
... «Ce qui ne nous empêche pas, évidemment, d’avoir des discussions intelligentes pour savoir quel est le meilleur compromis à trouver.»
Autre élément : dans un modèle qui sépare organiquement attaque et défense, «le niveau où ça se rassemble est très élevé. Ça veut dire qu’il faut mobiliser parfois les plus hautes autorités sur nos sujets de sécurité numérique.»
[Fin de ce thread #TeamWargames]
Missing some Tweet in this thread?
You can try to force a refresh.

Like this thread? Get email updates or save it to PDF!

Subscribe to Amaelle Guiton 📡
Profile picture

Get real-time email alerts when new unrolls are available from this author!

This content may be removed anytime!

Twitter may remove this content at anytime, convert it as a PDF, save and print for later use!

Try unrolling a thread yourself!

how to unroll video

1) Follow Thread Reader App on Twitter so you can easily mention us!

2) Go to a Twitter thread (series of Tweets by the same owner) and mention us with a keyword "unroll" @threadreaderapp unroll

You can practice here first or read more on our help page!

Follow Us on Twitter!

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just three indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3.00/month or $30.00/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!