Manœuvres dans le cyberespace : la stratégie Cybersécurité des USA

Spécialiste du secteur IT depuis une vingtaine d’années et en cybersécurité depuis une dizaine d’années, EH est aussi l’auteur du blog Si vis pacem para bellum qui a pour objet de diffuser, partager et communiquer sur les risques et les menaces liées aux technologies, en particulier la protection et la sécurité de l’information dans le cyberespace. Au-delà de ce champ au confluent de la technique et de l’humain, il s’intéresse également au secteur de la Défense, à l’industrie, à la géopolitique et à la prospective.


Superpuissances à la manœuvre

Ces derniers mois laissent à penser que les États-Unis ont décidé d’investir le cyberespace de manière puissante, rationnelle et cohérente. Le politique, parfaitement informé mais peut-être trop pris depuis une décennie par d’autres champs de bataille, semble finalement avoir compris quels avantages mais surtout quels dangers il existait à laisser d’autres pays, en particulier la superpuissance chinoise en devenir (et donc la nouvelle Union Soviétique d’hier ?), investir le cyberespace sans se préoccuper sérieusement de la protection des réseaux et systèmes fédéraux et militaires et, surtout, des informations qui y circulent.

CIDRIS ayant déjà fait une analyse approfondie et pertinente en ce qui concerne la stratégie publiée le 14 juillet par le Pentagone, celle-ci va simplement tenter d’en compléter certains axes et d’étendre des points de réflexion, n’engageant que leur auteur.

Manœuvre(s) dans le cyberespace

Pour de nombreux commentateurs avisés, la stratégie du Pentagone semble, en apparence, en dessous de ce à quoi nous avons été habitués. Doit-on y voir alors la marque d’une certaine humilité que cherche à imprimer l’administration Obama depuis qu’elle dirige les USA (20 janvier 2009) ou s’agit-il seulement d’un effet d’optique, volontairement recherché et mis en scène à Washington ?

Après tout, quel intérêt y aurait-il à concevoir uniquement des moyens offensifs si le socle qui leur sert de couvert est ouvert aux quatre vents ? L’importance des budgets consacrés au sujet (12 milliards $ dont les 2/3 pour la Défense), en période d’austérité budgétaire généralisée, n’est pas un indice suffisant mais ne plaide néanmoins pas dans le sens de simples effets d’annonce ou d’une posture purement défensive.

Certains analystes avancent même l’idée que les États-Unis instrumentaliseraient une tendance « naturelle » du cyberespace (transposition de la « vraie vie » dans celui-ci : les actions délictueuses croient en proportion du nombre d’utilisateurs), le rendant bien plus anxiogène voire menaçant qu’il ne le serait en réalité. Cette opinion peut faire sens car, hormis peut-être un cas d’utilisation de moyens de cyber-warfare (l’opération Orchard en 2007), les « cyber-attaques » jusqu’à présent connues ressemblent davantage à l’expression de revendications politiques (phénomène Anonymous) ou économiques (le vol de biens immatériels -les données- qui possèdent une valeur monnayable) sans dégâts matériels ni victimes physiques.

Une défense (réellement) sans attaque ?

Alors que la stratégie dévoilée semble ne se concentrer que sur l’objectif de renforcer la défense des réseaux et des systèmes, cyber-armes et moyens offensifs sont étrangement absents du document. Dorénavant, ces derniers ne seraient plus étudiés, développés ou envisagés ? La vérité demeure forcément complexe et les États-Unis, tout comme la Chine ou la Russie, nous ont habitués à devoir essayer de lire entre les lignes afin de distinguer ce qui relève de la posture, de la désinformation ou, plus prosaïquement, de la réalité.

Les USA savent habilement mélanger des faiblesses supposées en forces déguisées avec, toujours, un jeu d’atouts bien cachés dans leur manche. Je rejoins donc l’article de Wired sur ce point, d’autant plus que le jeu de poker menteur est probablement permanent: alors que tout le monde a les yeux braqués sur le DHS et surtout le Pentagone, quid de la DARPA, de la DISA et surtout de la CIA ou bien de la NSA ? Sachant, pas exemple, que ces deux dernières agences, litote s’il en est, ne sont pas les moins bien loties en moyens, ressources et missions dévolues dans le cyberespace.

Elles disposent en effet de moyens et de capacités techniques respectables et d’un sacré savoir-faire. On peut donc raisonnablement pencher pour une posture de l’administration Obama de type « main de fer dans un gant de velours ». La construction du plus grand centre interagences au monde, pour les opérations cybersécurité, à Riverton près de Salt Lake City (Utah), au coût et à la surface en rapport (1,2 milliards de $ /~93 000m² !), va dans le sens de cette hypothèse. Tout comme le recrutement d’environ 3000 salariés, en deux vagues d’ici septembre 2012, dont une partie ayant l’expérience ou les capacités de hacker !

Partenariats et défense en profondeur globale

L’un des cinq piliers de la stratégie dévoilée par le Pentagone prône l’établissement de moyens défensifs et de protection « à niveau ». En effet, l’actualité très récente l’ayant de nouveau illustré, la multitude de réseaux, de systèmes et d’équipements opérés par la Défense et les autorités fédérales conduit statistiquement à une augmentation significative de l’exposition à des failles et des vulnérabilités exploitables: charge aux éventuels attaquants de les trouver ! De plus, certains réseaux sont (ou ont été) relativement mal protégés en regard des enjeux (protection d’informations sensibles militaires, industrielles, technologiques et/ou concurrentielles) et de la technicité croissance de certaines attaques.

En support, non négligeable, on trouve des partenariats stratégiques via l’OTAN et  l’OSCE pour l’Europe et le bassin méditerranéen, ainsi qu’avec la Russie, l’Inde et l’Australie. Ce qui, géographiquement et techniquement, permet un maillage mondial sans équivalent qui pourra se transformer à l’avenir en couches plus ou moins intégrées pour une défense en profondeur de niveau international. Sans être particulièrement visionnaire, il ne parait pas farfelu de projeter l’hypothèse que la Chine est au centre des attentions américaines !


Des partenariats traditionnels et d’autres plus novateurs ?

L’écueil législatif des données personnelles (privacy)

D’avoir écrit en mai dernier que la politique présentée n’amenait pas de « réelle nouveauté » n’est pas faire injure à la réalité puisque de l’intention à la réalité existera toujours un écart allant du simple fossé au gouffre abyssal! D’autres analyses ne partagent pas cette approche.

Malgré tout, la notion de protection des données personnelles (privacy) va devenir délicate à traiter puisque si les militaires du Pentagone ont décidé d’investir le cyberespace, rappelons benoîtement que ce dernier comporte bien plus de « civils » (les internautes), d’entreprises et d’entrepreneurs que d’uniformes! Ce n’est sûrement pas un hasard si le NIST vient d’annoncer qu’il allait dédier une annexe complète sur ce sujet de la prochaine version de sa SP 800-53 (annexe J)!

Dissuasion : de la suggestion à la rétorsion

La vision américaine du cyberespace qui se laisse dévoiler peut, par certains aspects, être rapprochée de la posture de dissuasion nucléaire française : laisser volontairement des zones de flou sur le principe que les intérêts vitaux (de la Nation) ne sont jamais définis ouvertement. C’est le principe de la dissuasion, énoncé précédemment par Washington, avec en corollaire le fait de devoir renforcer et de muscler les principes de défense des réseaux gouvernementaux et militaires. Qui, on le sait malgré quelques réserves, sont soumis à un niveau de menaces (et d’attaques) réel, intensif et permanent. Avec la Chine, ce sont probablement les interfaces informatiques et de communication les plus attaquées au monde (des script-kiddies à certaines unités étrangères spécialisées).

Parmi les commentateurs qui s’interrogent sur les annonces américaines, certains y voient une sorte de grand écart entre une insuffisance (apparente) de moyens dédiés à l’offensif et la promesse de sérieuses mesures de rétorsion en cas de cyber-attaque, indiscutablement identifiée, ayant pour origine un État. Les (nombreuses) interrogations portent cependant sur :
- la fréquence de ce type d’attaques qui, pour le moment, semble difficile à qualifier et à mesurer;
- le type de mesures de rétorsion envisagées (officielles, clandestines, directes ou indirectes, etc.).

Dissuasion ou suggestion appuyée ?

Conclusion

S’appuyant sur la stratégie élaborée par le Pentagone mais aussi sur les moyens dont disposent le DHS, la NSA voire la CIA (ces deux dernières « étrangement » absentes de toute communication officielle sur la cybersécurité), Washington donne l’apparence de siffler la fin de la récréation et cherche à impulser une dynamique coopérative en embarquant secteur privé et alliés sur l’échiquier mondial.

Sans aucune nouveauté ni même annonce majeure, on peut cependant souligner l’évolution vers une meilleure communication qui établit une vision structurante (le cyberespace est officiellement devenu un enjeu de sécurité nationale) et une stratégie associée : renforcement de la protection et avantages technologiques, dissuasion et mesures de rétorsion avec des moyens offensifs non-déclarés (ou simplement suggérés), partenariats privé-public, inter-agences et internationaux et mise en cohérence législative (simplification et couverture complète).

La militarisation déguisée ou avérée du cyberespace ne doit se faire au détriment des enjeux économiques (le business) et du respect de la vie privée des internautes, usagers quotidiens de la Toile. Là se situera probablement l’échec ou la réussite de la stratégie globale américaine en matière de cybersécurité dans les années qui viennent. C’est ce qui explique aussi sans doute pourquoi l’Exécutif américain a identifié ce thème comme l’une des priorités de la problématique cybersécurité. Charge aux législateurs de trouver les réponses équilibrées, si elles existent (!), afin de ne léser personne. Un défi qui, à moins d’un an de l’élection présidentielle américaine, s’annonce difficile mais passionnant.

EH, Si vis pacem para bellum

Sources images :
Superpuissances à la manœuvre (source)
Des partenariats traditionnels et d’autres plus novateurs ? (source)
Dissuasion ou suggestion appuyée ? (source)

Be Sociable, Share!

You may also like...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

UA-7688295-1