30mar. 2018

Que retenir de la revue stratégique de cyberdéfense?

revue_sgdsn.png En février 2018 a été publié la Revue stratégique de cyberdéfense. Ce document inédit est présenté comme un véritable libre blanc sur la cyber défense. Écrit par le secrétariat général à la défense nationale, c'est en effet le premier document de niveau politique entièrement dédié à ce domaine qu'avait toutefois largement investi le livre blanc de la défense de 2013 et la revue stratégique de novembre 2017.

Cette revue fait d'abord un état des lieux des acteurs et de la menace, il décrit le modèle français de cyberdéfense et propose des améliorations, il ouvre enfin des perspectives visant à améliorer la cybersécurité de la société française.

Nous vous proposons dans cet article d'en résumer les éléments principaux et nous livrons à une courte critique de celui-ci. Le document est téléchargeable ici.

Lire la suite...

06juin 2014

Questions sur la cyber-défense.

Un étudiant en master nous a transmis quelques questions autour de la cyber-défense pour élaborer un mémoire sur la cyber-sécurité et la cyber-défense, et nous proposons de livrer ici les réponses que nous avons apportées.

Des évolutions ont eu lieu concernant la prise en compte des menaces émanant du cyberespace. On peut noter une augmentation de l’intérêt des politiques pour ces « nouvelles » menaces (Livre Blanc de 2008 ; création de l’ANSSI en 2009 ; rapport Bockel sur la cyberdéfense en 2012 ; enfin Livre Blanc 2013). Dès lors, pensez-vous que le sujet est suffisamment traité au niveau national ?

Cyber-defense.fr: Le préfixe "cyber" apparaît 10 fois plus souvent dans le nouveau LBDSN de 2013 comparé à celui de 2008, on ne peut nier le sursaut dans la prise de conscience des pouvoirs publics pour cette thématique. Toutefois, si l'on compare les moyens français avec ceux de puissances comparables à la France (UK, Allemagne), il y a encore un effort important à faire.

Les agences de l’Etat, comme l’ANSSI, doivent-elles fixer une ligne de conduite spécifique, en matière de cybersécurité, aux entreprises du secteur privé, qui se positionnent sur des secteurs clefs relevant de l’intérêt national ?

Cyber-defense.fr: Clairement, oui. Pour les opérateurs d'infrastructures critiques il faut définir un cadre et des normes claires, pour les autres entreprises, les répercussions étant moins évidentes, il apparaît suffisant de fournir des recommandations. Mais au-delà de l'Etat, c'est même l'union européenne qui va nous imposer demain cette « hygiène informatique élémentaire »  que prônait l'ancien patron de l'ANSSI P. Pailloux. Une directive de l'UE relative à la sécurité des réseaux et de l'information est en préparation (le texte de l'UE est disponible ici http://ec.europa.eu/digital-agenda/en/news/eu-cybersecurity-plan-protect-open-internet-and-online-freedom-and-opportunity-cyber-security).

Est-il nécessaire de créer des « cloud souverains » afin de préserver des données qui sont sujet aux risques d’atteinte à la confidentialité lorsqu’elles ont un caractère sensible ?

Cyber-defense.fr: Les pouvoirs publics (et de nombreux acteurs privés: Iliad, OVH...) n'ont pas attendu cette proposition pour élaborer des 'datacenter' de qualité. Selon nous le « Cloud souverain » est un concept très flou, inutile aux entités détenant des informations confidentielles qui maîtrisent déjà très bien les processus pour stocker leurs données. Comme certaines affaires l'ont montré, le maillon faible dans le stockage de données confidentielles n'est pas la solution technique, mais le facteur humain : Snowden, Manning ...

Peut-on imaginer, en cyberstratégie, une analogie avec la dissuasion nucléaire, et ainsi la création d’une cyberdissuasion ?

Cyber-defense.fr: la dissuasion repose sur la crédibilité d'actions de représailles et sur la possibilité d'attribution. Pour le premier aspect, tant qu'il n'y aura pas un « cyber Hiroshima », la menace cyber restera peu crédible face à des représailles classiques. D'autre part la certitude d'attribution (bien que prétendument maîtrisée par les US) n'est pas acquise. Par conséquent l'analogie avec la dissuasion nucléaire reste un concept selon nous très limité.

Dans ce cas-là, le futur de la cybersécurité passe-t-il par le développement de cyberarmes ?

Cyber-defense.fr: Ne dit-on pas que la meilleure défense, c'est l'attaque ? En termes techniques, dans la sphère cyber, il faut avoir un très haut niveau de compétence dans les différentes attaques pour pouvoir les parer. A cet égard, rares sont les spécialistes du domaine qui n'ont pas d'abord une expérience de hacker (« black » ou « grey » hat!) ou qui s’adonnent à ce qu'il est commun d’appeler du pentesting (test de pénétration). Dès lors les pays et structures qui ont une connaissance avancée dans le domaine de l'offensive sont certainement mieux préparés pour empêcher ou contrer une attaque et donc assurer leur sécurité.

Si l’on part du postulat que le cyberespace est un nouvel espace géographique, au sein duquel s’appliqueraient des règles spécifiques, comme pour d’autres espaces, le droit de l’espace, le droit aérien, ou encore le droit de la mer: peut-on dès lors imaginer que des traités internationaux, ou régionaux, fassent leur apparition avec pour objet spécifique, la cybersécurité ou la cyberdéfense ? Peut-on espérer un droit du cyberespace ?

Cyber-defense.fr : Le cyber espace est déjà particulièrement normé (RFC, normes constructeurs...) et pour l'instant que ce soit en terme de norme comme d'administration (noms de domaines par exemple), les États-Unis sont en position de domination. Il y a eu plusieurs tentatives dans le domaine, il faut aujourd'hui d'abord retenir le débat autour de la neutralité du réseau. Pour le reste, le droit de la sphère cyber ne peut être séparé des autres disciplines du droit (relations internationales, droit commercial, propriété intellectuelle) qui sont elles, ancrées dans des limites géographiques et des sphères d'influences d’acteurs précis. Ce qui est sûr, c'est que le cyber-espace sera à l'avenir l'objet de toujours plus de normes et traités, par les États mais aussi les acteurs inter-étatiques (OTAN, UE, mais aussi consortium d'entreprises...). Dans le domaine des cyber-conflits, voir ainsi le manuel de Tallinn: http://ccdcoe.org/249.html.

Pouvez-vous me parler brièvement des principales menaces au sein du cyberespace (attaques DDOS, le virus Stuxnet…) ?

Cyber-defense.fr : Selon nous on peut les classer selon les trois types suivants:

  1. criminels (leur but=argent, y compris l'espionnage industriel);
  2. "hacktivists" (but=partager/imposer une opinion, des idées) et enfin:
  3. états (but=contrôle au sens large ce qui inclut la coercition).

Les hackers et cyberterroristes sont les acteurs qui viennent en premier à l’esprit quand on parle de cyberattaques. Mais qu’en est-il des Etats ? Disposent-ils de moyens suffisants pour lancer ce type d’attaque (notamment la France) ? Ont-ils recours à des personnes privées afin de lancer ce genre d’attaque ?

Cyber-defense.fr : Les révélations de Snowden ont démontré que les US disposent d'un ensemble de moyens incomparablement supérieur à n'importe quel acteur privé (qu'ils « fédèrent » d'ailleurs autour de leur système de surveillance). Pour le reste des pays, il faut rester dans la supposition. En France nous disposons certainement de bonnes capacités offensives comme le montrent certaines allusions lors d'auditions parlementaires. De même nous avons quelques entreprises très bien positionnées (Par exemple Qosmos, spécialisée dans le filtrage; ou encore Vupen dans les vulnérabilités 0-days) . En revanche rien ne nous permet de penser que des entreprises françaises travailleraient uniquement pour le compte de l’État français. (Voir notre billet sur le marché cyber ).

Les nouveaux acteurs comme Wikileaks ou les Anonymous constituent-ils de réelles menaces pour la sécurité des systèmes d’informations ?  

Cyber-defense.fr: Il en sont un aspect (voir plus haut), mais certainement pas la menace principale. Pour nous, dans un sens ils participent même à l'équilibre des forces.

Peut-on imaginer un développement des cyberattaques tel que le cyberespace devienne l’espace privilégié des conflits à venir ?

Cyber-defense.fr: C'est de la prospective à très long terme et donc un sacré pari. C'est selon nous envisageable à l'horizon de la fin du siècle mais d'ici là, il faut s’attendre à d'autres ruptures technologiques qui pourraient aussi bien de nouveau ancrer la guerre dans la sphère réelle : par exemple les nano-technologies.

Au contraire la cyberstratégie restera-t-elle plus modestement un des pans de la stratégie militaire française ?

Cyber-defense.fr : Un des pans peut-être, mais un courant de pensée en pleine expansion. Toutes les potentialités sont loin d'avoir été explorées et le domaine reste en pleine évolution.

04juin 2013

Une montée en puissance de la cyber-défense aux accents bretons

Hier, le ministre de la défense est intervenu au cours d'un colloque organisé à l’École des Transmissions de Rennes. On connait l'attachement de Jean-Yves Le Drian à la Bretagne, et le ministre n'a pas manqué de placer sa région, en proposant un pôle d'excellence de la cyber-défense:

« Ce pôle pourrait se traduire par un projet ambitieux qui pourrait naître ici. Parce que, en matière de défense, nous avons deux creusets - et c’est la mission que je leur donne - les écoles de Saint-Cyr Coëtquidan et l’école des transmissions. Et, autour, il y a des partenariats avec les grandes écoles de Bretagne, des grands centres universitaires de la région, et une volonté des élus locaux et régionaux. Il faut les réunir et les porter dans une dynamique commune. Le ministère est déterminé à y contribuer » (source Ouest France)

Jean-Yves Le Drian à Rennes le 3 juin Jean-Yves Le Drian à Rennes le 3 juin (Crédit photo Ouest France)

Son allocution a confirmé les lignes directrices fixées dans le livre blanc, à savoir: le développement de capacités de cyber-offensives et une augmentation des moyens budgétaires, mais aussi la création de la cyber-réserve, dont nous sommes impatients de voir la concrétisation. Dans un contexte de réduction d'effectif à la défense, le ministre a annoncé que 350 personnels supplémentaires seraient affectés à la cyber-défense.

Surtout, le ministre a annoncé une colocalisation de l'ANSSI et de la chaînes des "cyber-armes". Ce rapprochement a du sens et devrait, selon nous, constituer le point de départ d'un secrétariat d’État au cyberespace comme nous le défendions dans cet article.

Le pays breton abrite de prestigieuses écoles d'informatique et de télécommunication, mais il est loin d'être le seul. Ainsi le favoritisme du ministre affiché à la fois pour la région (Bretagne) et la couleur de l’uniforme (armée de terre) ne rend peut-être pas justice à la cyber-défense: une priorité à la fois nationale, inter-armées, voire inter-ministérielle.

EDIT 1: le texte intégral du discours ici.

03déc. 2012

Introduction à la Cyberstratégie - Olivier Kempf

Introduction à la CyberstratégieOlivier Kempf est une des quelques personnalités du monde académique à publier régulièrement sur les aspects stratégiques du cyberespace. Après un ouvrage collectif "Stratégie dans le cyberespace", qui regroupait plusieurs textes autour d'un domaine théorique encore peu débroussaillé, il publie ce mois-ci un ouvrage intitulé "Introduction à la cyberstratégie" chez Economica.

Lire la suite...

31juil. 2012

Le rapport Bockel

Le rapport "Bockel" sur la cyber défense va bientôt être digéré par la blogosphère française, aussi est-il temps pour nous d'aborder ce rapport public du Sénat, qui a fait couler beaucoup d'encre.

Lire la suite...

23juil. 2012

Cyber-défense et cyber-sécurité

Le blog EGEA publie un article pour explorer les différences entre cyber défense et cyber sécurité [1]. Pour autant, si l'angle d'étude de M. Kempf est intéressant (il décortique les notions sous le prisme de l'ordre public, l'économie, et la technologie). Il ne permet peut être pas selon nous de bien expliquer les nuances entre ces termes.

Dans celui-ci Olivier Kempf écrit:" La cyber-sécurité se comprend alors comme la lutte contre la cybercriminalité".

Cette affirmation laisserait penser que la sécurité renvoie toujours à une forme de "police".

D'abord si l'on retient la classification des cyber-menaces selon les trois types suivants:

  1. criminels (leur but=argent, y compris l'espionnage industriel);
  2. "hacktivists" (but=partager/imposer une opinion, des idées) et enfin:
  3. états (but=contrôle au sens large ce qui inclue coercition)

alors l'affirmation de M. Kempf parait incomplète. Ensuite, l'assertion selon laquelle:

la sécurité est un état dont la défense est le moyen

nous semble plus fidèle à la compréhension des choses[2]. Depuis la publication du livre blanc, la distinction entre défense (armées) et sécurité (qui relève davantage de la police, la sécurité civile, les pompiers...) a déjà été critiquée[3].

Ainsi la cyber-sécurité est un état (souhaité, réalisé,...) et parmi elle la cyber-défense peut être définie comme la mise en œuvre par une entité politique de la protection de ses intérêts.

A l'heure où dans la sphère occidentale, nous avons tous davantage de chances d'être victime d'une cyber-attaque que d'une attaque physique; nous aimerions, en guise d'ouverture, lancer un pont vers Michel Foucault et sa biopolitique.

En effet il nous semble qu'à côté d'une forme d'exercice du pouvoir qui porte, sur la vie des gens, sur des populations, il faille s'attendre à l'émergence d'une cyber-politique, garantissant -à quel prix?; notre sécurité dans l'univers virtuel.

Notes

[1] Pour rendre justice au travail d'Olivier Kempf qui anime le blog EGEA, lire cet excellent article d'introduction également

[2] C'est également l'opinion d'un commentateur inspiré qui cite une source partageant cet avis

[3] une critique agacée de la confusion des genres ici

24juin 2012

Revue de presse - Juin

siliconrush

Le rythme des publications a faibli ce mois-ci car l'équipe de rédaction est particulièrement sollicitée.

Voici donc quelques liens à ne pas manquer.

Un séminaire a eut lieu au mois de mars 2012 à l'université de Savoie. Le thème axé sur l'architecture est en prise avec l'actualité de ce mois qui a vu le basculement vers IPv6. L’architecture de l’Internet, enjeu majeur de la Cyberstratégie.

Les Pays-Bas ont publié leur stratégie de cyber-défense le lien vers l'analyse par un site de consultant et pour les néerlandophone le lien vers le document. A noter que la lutte offensive repose principalement sur l'agence de renseignement hollandaise, et non sur les forces armées.

Dans sa revue politique étrangère du mois de février, l'Institut Français des relations internationales, l'IFRI, a publié un article de Michel Baud (officier dans l'armée de terre) intitulé "La cyberguerre n’aura pas lieu, mais il faut s’y préparer"(le lien vers le document). Nous recommandons la lecture de cet article qui est une bonne synthèse du sujet.

Enfin la Revue de la Défense Nationale publie ce mois ci un dossier consacré à la cyber-stratégie, dont nous feront une exégèse prochainement. En attendant vous pouvez vous reporter au site de la RDN.

19mai 2012

Revue de presse du web

Quelques liens intéressants ce mois ci.

D'abord un article du blog d'Olivier Kempf, publiant un texte du Dr Sandro Arcioni qui donne sa vision de la cyber-sécurité de manière détaillée, notamment en proposant une segmentation des menaces suivant 4 axes: Le texte sur le site Egea.

Un excellent site sur la cyber-sécurité, tenu par Eric Freyssinet, officier de gendarmerie, polytechnicien (X92) et expert en sécurité informatique.

Un site qui traite de cyber-sécurité, principalement orienté vers l'univers civil et l'entreprise: Blog cyber-sécurité.fr.

Enfin une lecture à contre courant de ce blog, qui développe un point de vue néanmoins intéressant: la cyberguerre est un mythe.

01mai 2012

Anonymat dans le cyberspace

mask.jpg

"La grande incertitude [liée au manque] d'informations en période de guerre est d'une difficulté particulière parce que toutes les actions doivent dans une certaine mesure être planifiée avec une légère zone d'ombre qui (...) comme l'effet d'un brouillard ou d'un clair de lune, donne aux choses des dimensions exagérées ou non naturelles" Carl von Clausewitz.

Chaque milieu "non naturel" confère des avantages aux moyens qui y sont déployés. L'eau permet la permanence et la facilité d'accès, l'air offre allonge et fulgurance, l'espace la globalité. Dans le domaine de l'information, le cyberespace, lui, est une fusion de tous les autres avantages en rajoutant une caractéristiques essentielle: la furtivité. Cette furtivité[1] peut être exprimée en d'autres termes: anonymat si l'on parle d'utilisation civile, clandestinité si on qualifie des actions criminelles, ou secrète si ce sont celles d'une organisation étatique.

Pourtant ce brouillard de guerre n'est pas complètement opaque: l'anonymat est souvent un masque. L'usurpation un principe commun.

L'usurpation peut se faire en rebonds successifs: des données qui transitent de serveurs en serveurs, de pays en pays, ou encore depuis plusieurs pays à la fois. Le masque peut donc constituer une partie de la tactique. Attaquer des serveurs Chinois avec des adresses de Taïwan est sensiblement différent de la même attaque menée avec des adresses indiennes ...

Le brouillard de guerre qui règne dans le cyberspace, confère aux acteurs une grande liberté d'action. Dans un univers de smart defense et de stratégies indirectes c'est un outil rêvé qui redonne à des États "respectables" la possibilité de mener des offensives.

Les choses pourraient-elles changer dans le futur ? Rien ne permet de l'affirmer. Chaque tentative de rajouter traçabilité et identification dans le réseau est ressentie par ses experts comme une entrave à leur liberté. Le développement de procédés d'anonymat est constant, comme l'essor de TOR le démontre.

Il faut donc reconnaître dans le principe d'usurpation et d’anonymat une caractéristique potentielle des stratégies dans le cyberespace.

Finalement, le cyberespace revêt une transparente opacité.

Note

[1] Le terme de furtivité est défini par Wikipedia comme "la caractéristique d'un engin militaire conçu pour avoir une signature réduite ou banale et donc pour être moins détectable, classifiable ou identifiable".

16avr. 2012

Stratégie anti-accès dans le Cyber-espace

Ne pas s'opposer directement à la force mais lui retirer son point d'appui

- Les 36 Stratagèmes dynastie Ming? (1366-1610)

La montée en puissance de l'armée Chinoise fait l'objet de nombreux commentaires, dont un dossier de The Economist, dont nous recommandons la lecture (Disponible en ligne ici). Face à la puissance américaine que l'armée populaire chinoise ne saurait égaler à moyen terme, la Chine construit son arsenal autour de stratégies dites A2/AD (Anti-access/Area Denial). Interdire ses approches et son territoire n'est pas un phénomène nouveau de l'art de la guerre. Toutefois, face à l'hyper puissance américaine, mais aussi avec le nouvel intérêt des espaces communs: eaux territoriales, espace ... cyberespace, ces stratégies renouvellent le concept d’asymétrie.

Quels sont les implications pour la cyberdéfense ?

Lire la suite...

06avr. 2012

Vague répressive sur les réseaux sociaux chinois

Flag_of_China.pngLa chine s’est encore illustrée ces derniers jours dans le contrôle d’internet. A la suite de rumeurs propagées par les réseaux sociaux locaux QQ, et Weibo[1], l’autorité de contrôle d'internet a suspendu les commentaires jusqu’au 3 avril. L’internet chinois est d’ores et déjà parmi les plus contrôlés. Des sites comme Youtube, Facebook, ou le service Twitter sont inaccessibles. Cette fois, le pouvoir a tenté de bloquer des rumeurs de «coup d’état» à la suite du limogeage de Bo Xilai, un cadre du parti qui prétendait au pouvoir suprême, et de messages faisant état de coup de feu et de mouvements de blindés à Pekin.

Depuis la fin de l’année, les autorités ont ordonné aux utilisateurs de Weibo de s’inscrire sous leur identité réelle, coupant court à toute possibilité de pseudonyme, et donc à l’anonymat.

Il est marquant de noter que l’agence Chine nouvelle a fait état d’une campagne baptisée «Brise de printemps» pour désigner une opération de cyber-répression depuis février; le bilan fait état de l’interpellation de 100 suspects, de la suppression de 200.000 messages et l’avertissement de 3000 sites.

Cette "brise" amènera t-elle de la douceur, ou du ressentiment ?

Note

[1] 300.000 utilisateurs

Lire la suite...

17mar. 2012

Revue de presse du web

Si ce blog n'a pas vocation a couvrir l'actualité en boucle courte, mais bien de prendre un certain recul par rapport aux évènements en les analysant et en les mettant en perspective, ce billet vous propose de passer en revue certains articles publiés sur le net ce mois-ci. Sans viser l’exhaustivité, l’intérêt est donc bien sûr de vous faire découvrir des sites internet se rapportant aux problématiques de défense et de sécurité informatique.

Lire la suite...

06fév. 2012

Dossier Cyberespace d'Armées d'aujourd'hui

armeeaujourdhui4.jpgArmées d'aujourd'hui fait état dans son numéro de novembre-décembre, d'un dossier sur le Cyberespace, sous titré: le "5eme champ de bataille". Que nous apprend le magazine officiel des armées sur le sujet ?

Lire la suite...

15janv. 2012

Cyberespace de quoi parle-t-on ?

La notion de cyber- est déclinée à l'envi, elle balise en effet de nouveaux concepts émergeants dans la foulée du lieu qui les fonde tous: le cyberespace. Ainsi les termes de cyber-défense, cyber terrorisme etc. se définissent d'abord en éclairant leur rapport au Cyberespace. Commençons donc par répondre à la question, qu'est-ce-que le Cyberespace?

Lire la suite...