Blog Cyber-defense Le blog sur les questions de défense en général et sur la cyberdéfense en particulier. 2023-06-28T09:40:21+02:00 La rédaction urn:md5:5758d3efb9495ffa8211bb031b6b3594 Dotclear L'empire des données, une lecture hautement recommandable. urn:md5:503e53bdf3673441b53baae270fa9193 2018-10-29T16:55:00+01:00 2018-10-29T18:16:29+01:00 admin Souveraineté et droit du numérique Big Datadonnées personnellessouveraineté <p><img src="http://cyber-defense.fr/blog/public/.Couverture-lempire-des-donne_es_m.jpg" alt="" style="display:table; margin:0 auto;" /></p> <p>Adrien Basdevant et Jean Pierre Mignard sont deux avocats qui se sont spécialisés dans le domaine numérique. Ils ont publié au printemps un essai, "L'empire des données" qui décrit la révolution apportée par l'explosion des données et leur exploitation. Ce "coup data" comme l'évoque les auteurs remet en cause l'ordre juridique et politique de notre monde, en substituant à la loi, l'algorithme.</p> <p>Nous proposons d'en faire ici la recension.</p> <p>L’essai d’Adrien Basdevant et Jean Pierre Mignard se propose d’examiner comment "concilier l'efficacité d'une technologie avec des principes de vie sociale et de liberté individuelle". Il s'agit de rétablir un équilibre et un partage de responsabilités entre la puissance publique, les acteurs privés et la société civile.</p> <p>Après avoir retracé l'histoire des données, de la statistique, et "le tournant mathématique du droit", les auteurs exposent que le danger est dans la discrimination que peut provoquer l'emploi des algorithmes, en particulier dans les domaines de la justice et de la sécurité.</p> <p>A cet égard, la citation d’Alexis de Tocqueville par les auteurs raisonne avec une belle actualité:</p> <blockquote><p>La notion de gouvernement se simplifie: le nombre seul fait la loi et le Droit. Toute la politique se réduit à une question d'arithmétique.</p></blockquote> <p>La question de la propriété de ces données est alors décortiquée; la différence entre le droit d’usage et le droit à la propriété est expliqué. En France, la loi pour le numérique de 2016 a écarté la patrimonialisation des données tout en permettant aux individus d'en garder le contrôle.</p> <p>Après la loi informatique et liberté de 1978, et une législation régulière dans le domaine, c'est le règlement UE 2016/679, dit règlement général sur la protection des données (RGPD) qui vient prendre en compte les progrès technologiques effectués depuis quarante ans. Les auteurs commentent l'entrée en vigueur de ce texte qui entend combler un vide en adoptant une approche globale de la protection des données à caractère personnel (p.145), en conciliant les intérêts des entreprises, des consommateurs et des personnes. Selon les auteurs, ce texte donne au droit européen une longueur d'avance au niveau mondial, et devrait étendre son influence sur les autres territoires en s’appuyant sur la représentativité de l’internaute européen dans le monde. Ils le considèrent donc comme une arme d'influence majeure pour le futur.</p> <p>Pour autant les auteurs ne manquent pas de souligner les limites du RGPD. Ainsi son cantonnement aux données personnelles risque de limiter son efficacité pour compenser les progrès du <em>data mining</em> qui permet par des recoupements de données d’en lever l’anonymat. Le contexte a fortement évolué aussi, et l’essor du Big Data qui collecte de manière massive les données indépendamment d’une utilisation immédiate, vient se heurter au RGPD, qui prône une collecte au juste besoin.</p> <p>La RGPD constitue donc une belle avancée, mais Adrien Basdevant et Jean Pierre Mignard estiment qu'il est nécessaire de compléter cette réglementation essentiellement portée sur la prévention par un volet pénal. Dans un parallèle avec la délinquance financière qui a conduit la France à se doter d'un parquet national financier, ils proposent la création d'un parquet dédié aux infractions numériques et d'une 33ème chambre correctionnelle spécialisée dans les infractions numériques. Il ne s'agit pas pour eux de cloisonner les différentes juridictions, mais en poursuivant la formation de l'ensemble de la justice au enjeux numériques, créer une structure de référence disposant d'une vision globale et des ressources nécessaires pour traiter les affaires les plus complexes. Au vu de la dimension de la délinquance cyber, l'action de la justice doit s'établir au niveau européen, et les auteurs proposent, sur le modèle de la création en 2017 du parquet européen spécialisé dans la délinquance financière, de créer une entité coordonnant les actions des parquets numériques nationaux.</p> <p>Dans une dernière partie, les auteurs prennent de la hauteur en abordant également la question de la souveraineté concurrente qu’exercent les acteurs privés sur les États.</p> <blockquote><p>Les opérateurs numériques sont ainsi devenus les délégataires de la loi et les auxiliaires indispensables d’États impuissants par eux-mêmes. Le conflit de pouvoir se situe là.</p></blockquote> <p>Si les auteurs se veulent méfiants face à la toute-puissance de cet empire des données, ils lui reconnaissent volontiers aussi de nombreux avantages. Il apparaît ainsi nécessaire de redonner de la sûreté et de la confiance dans le numérique.</p> <p>Une réappropriation de ses données est alors proposée, en remettant l’individu au centre de cette collecte qui doit être librement comprise et consentie par le citoyen. Seuls des intérêts supérieurs encadrés par la loi pouvant faire exception à ce principe. Et s'il est illusoire d’imaginer que chaque citoyen puisse appréhender les traitements effectués sur ses données, il est en revanche indispensable que ceux-ci soient juridiquement et éthiquement encadrés.</p> <p>Face à la <q>gouvernance froide, efficace, objective et fluide des algorithmes</q> les auteurs appellent à un <q>humanisme technologique</q>.</p> <p>Si Adrien Basdevant et Jean Pierre Mignard ont abordé le sujet du Big Data sous l'angle juridique, leur écriture ne verse dans aucun excès de complexité technique ou juridique. Irrigués de nombreux exemples et parallèles historiques et philosophiques, ce livre se lit avec facilité. Les auteurs ne renâclent pas non plus à aller sur le terrain de l'informatique, ce qui en fera une lecture agréable pour le spécialiste comme le non initié.</p> <p>Ce livre pédagogique, qui apporte également une réflexion pertinente sur la révolution en cours, est à mettre entre toutes les mains, du spécialiste au citoyen curieux.</p> http://cyber-defense.fr/blog/index.php?post/2018/10/14/L-empire-des-donn%C3%A9es%2C-une-lecture-hautement-recomandable#comment-form http://cyber-defense.fr/blog/index.php?feed/atom/comments/47 Que retenir de la revue stratégique de cyberdéfense? urn:md5:95ef05155bacd2f82c06c12b78425560 2018-03-30T20:48:00+02:00 2018-04-04T02:15:51+02:00 admin Cyber défense ANSSIChinecloudcyber-sécuritécybercriminalitéDPIindustrie de défenselivre blancprospectiveSnowdenstratégiestratégie et liberté d action <p><img src="http://cyber-defense.fr/blog/public/.revue_sgdsn_m.png" alt="revue_sgdsn.png" style="display:table; margin:0 auto;" title="revue_sgdsn.png, avr. 2018" /> En février 2018 a été publié la <em>Revue stratégique de cyberdéfense</em>. Ce document inédit est présenté comme un véritable libre blanc sur la cyber défense. Écrit par le secrétariat général à la défense nationale, c'est en effet le premier document de niveau politique entièrement dédié à ce domaine qu'avait toutefois largement investi le <a href="http://cyber-defense.fr/blog/index.php?post/2013/04/29/Le-livre-blanc-sur-la-d%C3%A9fense-et-la-s%C3%A9curit%C3%A9-de-2013">livre blanc de la défense de 2013</a> et la revue stratégique de novembre 2017.</p> <p>Cette revue fait d'abord un état des lieux des acteurs et de la menace, il décrit le modèle français de cyberdéfense et propose des améliorations, il ouvre enfin des perspectives visant à améliorer la cybersécurité de la société française.</p> <p>Nous vous proposons dans cet article d'en résumer les éléments principaux et nous livrons à une courte critique de celui-ci. Le document est téléchargeable <a href="http://www.sgdsn.gouv.fr/uploads/2018/02/20180206-np-revue-cyber-public-v3.3-publication.pdf">ici</a>.</p> <h3>Introduction</h3> <p>Confiée par le Premier ministre au Secrétaire général de la défense et de la sécurité nationale, la revue stratégique de cyberdéfense a été élaborée lors de ces six derniers mois en auditionnant près de deux cents personnes, françaises et étrangères, représentant les administrations, ainsi que les assemblées parlementaires et les opérateurs économiques.</p> <p>Dans son introduction, la revue distingue d’abord les organes vitaux de la cyberdéfense, en premier lieu certains « systèmes d’information de l’État » et quelques « délégataires de services publics » : secteurs des communications électroniques et approvisionnement en énergie électrique. Viennent ensuite les forces de sécurité et de secours, puis les infrastructures de transport. Enfin la protection des institutions clés de la vie politique.</p> <p>D’emblée, loin de se concentrer sur le pré carré français, la volonté est affirmée d’agir sur la scène internationale (régulation, coopération technique, doctrine de réaction face à une agression d’un partenaire).</p> <p>L’objectif du document est de « décrire une stratégie robuste et d’exposer les propositions que pourrait faire la France pour une régulation internationale du cyberespace », pour ce faire la revue stratégique de cyberdéfense liste 7 grands principes à placer au cœur des ambitions françaises :</p> <ul> <li>accorder une priorité à la protection de nos systèmes d’information ;</li> <li>adopter une posture active de découragement des attaques et de réaction coordonnée ;</li> <li>exercer pleinement notre souveraineté numérique ;</li> <li>apporter une réponse pénale efficace à la cybercriminalité</li> <li>promouvoir une culture partagée de la sécurité informatique ;</li> <li>contribuer à une Europe du numérique confiante et sûre ;</li> <li>agir à l’international en faveur d’une gouvernance collective et maîtrisée du cyberespace.</li> </ul> <h3>Les menaces</h3> <p>La première partie qui vise à présenter les menaces fait un bilan thématique assez exhaustif de celles-ci. Espionnage, sabotage, cybercriminalité,... le bestiaire est varié ; en particulier le cas de la déstabilisation est abordé en détail, en se limitant aux aspects techniques.</p> <p>L’environnement sur lequel ces menaces se développent est par nature international, dimension qui présente des difficultés pour imposer des négociations (niveau ONU). L’existence d’une dizaine d’acteurs particulièrement puissants est identifiée : USA, UK, Canada, Australie, Nouvelle Zélande (« 5 eyes »), la Russie, la Chine, Israël, l’Allemagne et la France. L’Allemagne est un partenaire privilégié de la France. Chine et Russie divergent fondamentalement de la vision occidentale avec une mission de sécurité de l’information qui dépasse le cadre de la sécurité des systèmes d’information (comprendre que les enjeux dépassent la technique, et sont mis au service de la politique de l’État).</p> <p>Le constat et la prédiction faite par de la revue est une tendance nette à l’accroissement de ces menaces: le risque systémique est évoqué, et le « hack back » <sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2018/03/24/Que-retenir-de-la-revus-strat%C3%A9gique-cyber#wiki-footnote-1" id="rev-wiki-footnote-1">1</a>]</sup> est condamné. L’objectif est d’éviter d’aller vers un « Far-West cybernétique ».</p> <h4>Le défi de la cyber-puissance de l’État Français</h4> <p>La deuxième partie entre dans le vif du sujet, elle passe en revue le modèle français qui repose sur une séparation des capacités défensives et offensives (consacré par les LBDSN de 2008 et 2013) ; il mérite cependant d’évoluer selon la revue. Les enjeux sont alors le durcissement de nos systèmes les plus critiques, le renforcement du volet pénal, et la volonté de peser dans l’établissement de la norme.</p> <p>Pourquoi pérenniser un tel modèle à l’opposé du modèle anglo-saxon ? La séparation à la française est présentée comme vertueuse car elle respecte les libertés individuelles et la protection la vie privée, créant une des ressources essentielles la sphère cyber : de la confiance.</p> <blockquote><p>Extrait LBDSN2013 : La doctrine nationale de réponse aux agressions informatiques majeures repose sur le principe d’une approche globale fondée sur deux volets complémentaires : 1/ la mise en place d’une posture robuste et résiliente de protection des systèmes d’information de l’État, des opérateurs d’importance vitale et des industries stratégiques, couplée à une organisation opérationnelle de défense de ces systèmes, coordonnée sous l’autorité du Premier ministre, et reposant sur une coopération étroite des services de l’État, afin d’identifier et de caractériser au plus tôt les menaces pesant sur notre pays ; 2/ une capacité de réponse gouvernementale globale et ajustée face à des agressions de nature et d’ampleur variées faisant en premier lieu appel à l’ensemble des moyens diplomatiques, juridiques ou policiers, sans s’interdire l’emploi gradué de moyens relevant du ministère de la Défense, si les intérêts stratégiques nationaux étaient menacés.</p></blockquote> <p>Ainsi en cas de cyber-attaque sur un OIV c’est l’ANSSI qui reste responsable de la réponse. Lorsque l’attaque vise exclusivement des capacités opérationnelles des armées ou des chaînes de commandement de la défense, l’autorité compétente est le commandement opérationnel de la cyber défense de l’EMA (État Major des Armées) en « liaison » avec l’ANSSI.</p> <p>Toutefois cette « bipolarisation » manque de coordination mais aussi d’une clarification de son organisation.</p> <p>Concrètement la revue stratégique propose une organisation de l’action de l’Etat en matière de cyberdéfense selon quatre chaînes opérationnelles : la protection, l’action militaire, le renseignement, et l’investigation judiciaire. Il est proposé de créer un centre de coordination de crises cyber (C4) qui a vocation à gérer les crises de faible ampleur pour lesquelles le centre interministériel de crise serait sur-dimensionné, et qui sera divisé en trois niveaux distincts en fonction du domaine et de la confidentialité : stratégique, technique et restreint permanent et technique.</p> <p>La revue s’attarde ensuite sur l’amélioration de la protection des activités sensibles : hiérarchisées en 5 cercles : État, OIV, activités essentielles, collectivités territoriales, protection de la vie démocratique.</p> <p>Le premier cercle appelle d’ores et déjà à de nombreuses optimisations. Le niveau de formation et de coordination des différentes directions des systèmes d’information ministérielles est jugé perfectible et le recours au services de l’ANSSI trop tardifs, notamment sur les projets. La revue fait la promotion de son réseau internet d’État (RIE), sous-utilisé et qui comprend une plateforme d’accès à internet avec des services de sécurité à la carte (souvent désactivé). Elle propose d’effectuer du filtrage constant sur les métadonnées, et l’utilisation généralisée des sondes (cela pose cependant à notre sens un problème de confidentialité). En ayant recours aux solutions labellisées par l’ANSSI, et en associant l’agence à la contractualisation des marchés (via la direction des achats de l’État) l’État pourrait aussi faire des économies d’échelle.</p> <p>Pour définir le deuxième cercle : « les OIV », la revue cyber s’appuie sur le périmètre a minima défini en 2006 de douze secteurs d’activités d’importance vitale. 200 opérateurs d’importance vitale sont aujourd’hui identifiés. Si par le passé l’ANSSI se bornait à des recommandations à leur encontre, la fragilité face aux menaces cyber a conduit à inscrire en 2013 dans la loi des contraintes dans le domaine de la cyber sécurité auxquelles les OIV sont soumis. Les OIV doivent donc appliquer aujourd’hui les mesures élaborées par l’ANSSI, et lui rendre compte en cas d’incident. A cet égard la revue fait le constat d’efforts encore importants à réaliser. C’est pourquoi la revue fait des recommandations : différencier les impositions en fonction des secteurs, renforcer la sécurité des opérateurs supercritiques : opérateurs de communication et électricité, développer l’offre privée labialisée.</p> <p>Pour mettre en œuvre une protection du troisième cercle la revue propose de s’appuyer principalement sur l’Europe. En transposant la directive Network and Information Security (dite « NIS », directive UE 2016/148 du 6/7/2016), et en faisant la promotion d’une harmonisation au niveau européen, pertinente s’agissant de groupe multinationaux.</p> <p>Les collectivités territoriales sont jugées particulièrement exposées au risque cyber, leur morcellement ne favorise pas l’harmonisation et les mutualisations. La revue suggère donc de renforcer la communication de ces entités avec l’ANSSI, qui pourrait alors améliorer son offre de solutions labellisées ou qualifiées à leur usage.</p> <h4>Faire face à la cybercriminalité</h4> <p>La revue met en avant 5 tendances extraites d’un rapport publié par EUROPOL :</p> <ul> <li>le développement des rançongiciels qui constituent, aujourd’hui la première menace parmi les logiciels malveillants ;</li> <li>l’intérêt porté par certains groupes criminels aux technologies de paiement sans contact ;</li> <li>l’essor des attaques par déni de service, notamment grâce à des « botnet » d’objets connectés ;</li> <li>l’utilisation des crypto-monnaies, en particulier du <em>bitcoin</em>, comme moyen privilégié pour les échanges financiers entre criminels ;</li> <li>l’utilisation des technologies de chiffrement pour protéger les communications entre délinquants ou stocker les informations.</li> </ul> <p>(à noter que le rapport d’Europol fait également état du vol de données personnelles, oublié ici et peu présent dans la revue)</p> <p>Domaine aux contours peu défini, la revue concède qu’il est difficile de donner une définition précise de la cybercriminalité. Citant un rapport du ministère de la justice, la revue établit « La cybercriminalité regroupe toutes les infractions pénales tentées ou commises à l’encontre ou au moyen d’un système d’information et de communication, principalement internet ». Au niveau international seule la « convention de Budapest » représente une tentative d’harmonisation des législations nationales en matière de cybercriminalité.</p> <p>Les deux biais liés aux remontées de la cybercriminalité sont établis avec lucidité. Ainsi la revue met en lumière le manque d’objectivité des éditeurs d’anti virus, « dont la viabilité économique est étroitement liée au niveau de menace ». Elle fait également le constat de forces de sécurité incapables de recenser la totalité des actes de malveillances. Ainsi le nombre de victimes est très difficile à évaluer. A cet égard la revue met en avant deux initiatives de la police et de la gendarmerie pour permettre une remontée d’information plus précise (PERCEV@L et THESEE + site cybermalveillance.gouv.fr)</p> <p>Mais la revue fait le constat d’un « effritement » de la frontière entre cyberdéfense et lutte contre la cybercriminalité, et d’une nécessité de renforcer la réponse judiciaire. Cette réponse passe d’abord par un renforcement des ressources humaines spécialisées dans le domaine et des outils de veille et de surveillance. Le rapport prend aussi position pour une meilleure conservation des données. Il propose un échange de données entre l’ANSSI et les services judiciaires.</p> <p>La revue appelle un dialogue effectif et constructif avec les grands opérateurs américains de l’internet, sans vraiment définir précisément comment y parvenir.</p> <p>Elle s’attarde aussi sur la notion de preuve numérique (faisant état de travaux européens sur le sujet) et l’importance de procédures de retrait de contenu à caractère illicite.</p> <p>Au final la modernisation du volet légal passe selon la revue par la transposition de la convention de Budapest, il apparaît nécessaire de s’appuyer sur ce texte jugé suffisant et de ne pas ajouter un nouveau traité.</p> <h4>Se positionner comme un acteur majeur dans le domaine cyber sur la scène internationale :</h4> <p>Pour cela, la revue appelle à renforcer le dialogue, y compris envers les pays agresseurs pour contrôler l’escalade de la crise, et s’interdire certaines pratiques identifiées comme néfastes par les deux parties. La revue définit l’Europe et les pays occidentaux comme les partenaires naturels des coopérations, mais définit également l’Afrique du nord, certains pays du Moyen Orient ou encore de l’Asie du sud-est comme « prioritaires ». (aire d’influence cyber ?)</p> <p>A partir du constat d’une ressource limitée, la revue propose d’avoir recours à un deuxième cercle d’intervenants : réservistes, « acteur de confiance non étatiques » (opérateurs, universités, secteur privé).</p> <p>L’autonomie stratégique doit selon la revue se développer sur trois axes : un axe technologique, et un axe réglementaire, et enfin un axe capacitaire.</p> <p>L’axe réglementaire se propose d’adopter une doctrine d’action en fixant comme préalable la capacité de discrimination entre incident et agression. C’est une des difficultés en matière de cyberattaque : la caractérisation de l’attaque.</p> <p><img src="http://cyber-defense.fr/blog/public/schema_national_classement.png" alt="schema_national_classement.png" style="display:table; margin:0 auto;" title="schema_national_classement.png, avr. 2018" /> <em>La classification proposée par la revue pour les cyberattaques.</em></p> <p>Il convient ensuite de définir les options de réponses, en cherchant les applications du droit international dans le cyberespace.</p> <h4>Réguler le cyberespace</h4> <p>D’abord vis à vis des États, prenant acte du cycle de négociations au sein du CGE 2016-2017, la France continue à rechercher la convergence des normes applicables dans le cyberespace en vue d’en renforcer la sécurité.</p> <p>La résilience doit être renforcée par la prévention : la revue souhaite voir bannir par exemple « l’usage par des acteurs non-étatique, notamment du secteur privé, de technique et outil cyber pouvant avoir des conséquences défavorables sur une tierce partie ».</p> <p>La coopération est abordée avec un principe de <em>cyberdiligence</em> (ne pas laisser utiliser son territoire pour commettre des actes contraire au droit d’autres états), un principe de « stabilité » enfin pour faire reconnaître trois droits pour les États victimes de cyber attaque :</p> <ol> <li>la saisie du conseil de sécurité</li> <li>la possibilité d’une riposte technique proportionnée pour faire cesser une attaque</li> <li>la possibilité de qualifier l’attaque cyber comme une attaque armée en fonction de sa gravité</li> </ol> <p>Dans le cas particulier des acteurs privés il s’agit d’encadrer le « <em>hack-back</em> », qui peut favoriser l’escalade entre États. Il apparaît également nécessaire de responsabiliser les acteurs privés sur le suivi de leur produits : la fin du support devrait s’accompagner de la mise à disposition technique nécessaire pour que les clients puissent prendre en charge eux-mêmes le maintien en condition de sécurité. (très bonne idée, mais qui en l’abscence de contrainte restera lettre morte : imagine t-on en 2020 le code de Windows Seven être rendu public?).</p> <h3>L'État garant de la cybersécurité de la société.</h3> <p>L’ambition de la revue pour la France est « une logique de souveraineté numérique dans la profondeur.» intégrant citoyens, entreprises et collectivité territoriales.</p> <p>Il s’agit donc d’abord de définir ce concept de la souveraineté numérique : la revue établit que c’est « conserver une autonomie et une liberté de choix ».</p> <p>La déclinaison en termes de capacité fait l’état des lieux de trois technologies clés de notre souveraineté numérique : chiffrement, détection des attaques informatiques, et les radios mobiles professionnelles (réseaux mobiles 5G).</p> <p>La revue fait aussi allusion à l’Intelligence Artificielle, (qui a fait l’objet d’un autre rapport récemment publié <a href="http://cyber-defense.fr/blog/index.php?post/2018/03/24/">ici</a> et au cloud. Après l’échec du cloud souverain (concept qui est toujours resté flou et pour parler franchement, peu opportun), les allusions au partenariat entre Microsoft et certains data center sur le sol européen n’est en rien rassurant ! La revue liste cependant 5 mesures de bon sens notamment sur le chiffrage des données traitées dans ces clouds, et l’ANSSI propose une certification « SecNumCloud » pour ces systèmes d’information.</p> <p>La revue évoque aussi la régulation de la production et l’exportation des « cyberarmes ». Elle propose de les diviser en 4 catégories : <em>pentesting</em> (régulé uniquement par un code déontologique), surveillance inspection (secteur privé, encadrement des exports) , APT (secteur réservé aux Etats), armes informatiques massives (prohibées).</p> <p>Dans son rôle normatif pour la sécurité, l’ANSSI juge qu’il faut en améliorer l’efficacité et être plus contraignant par un régime de sanction adapté.</p> <p>L’ANSSI possède des visa, un système de certification jugé pertinent. Elle souhaite l’étendre pour l’adapter aux évolutions prévisibles en certifiant les prestataires : à la fois ceux qui seront acteurs des certifications produit, mais aussi ceux des chaînes de confiance numérique (certificat élec, …). La revue détaille les différentes catégories : prestataires d’audit en sécurité des systèmes d’information (PASSI), prestataires de détection d’incidents de sécurité (PDIS) et prestataires de réponse à incident de sécurité (PRIS).</p> <p>Mais ce cadre de certification est jugé trop complexe pour tout une gamme de produits grand public, au rang desquels nombre d’objets connectés, c’est pourquoi une certification élémentaire de cybersécurité est envisagé à la manière du marquage CE.</p> <p>L’objectif stratégique est de transposer au niveau européen les certifications françaises, ce qui permettrait par ailleurs aux entreprises ayant fait l’effort de cette mise à niveau de valoriser leur offre sur le marché européen, tout en renforçant le niveau de sécurité global européen.</p> <h4>L’économie de la cybersécurité</h4> <p>Selon la revue, la souveraineté numérique nécessiterait une « véritable stratégie industrielle ». Nous pensons également aussi que toute la différence entre autonomie et asservissement réside dans les compétences propres d’un pays, et que la souveraineté numérique ne peut faire l’impasse sur une base industrielle nationale solide.</p> <p>L’état des lieux en France de celle-ci laisse apparaître une majorité de très grands groupes qui couvrent 3 domaines principaux. D’abord la cryptographie et le chiffrement (mais très peu de débouchés à l’international) ensuite les cartes à puce (la France est un acteur historique de premier plan mondial). En dernier lieu, les sociétés de service à dimension mondiale. Le secteur des technologies de l’information est en rapide évolution autour de rapprochements (exemple : Bull-Atos ou Gemalto-Thales).</p> <p>Un nombre important de petites et très petites entreprises existe et répond aux besoins locaux, sans qu’un besoin d’accroissement de leur taille se fasse sentir. Il apparaît nécessaire d’accompagner leur croissance avec des fonds d’investissements dans le domaine de la « cyberdéfense ».</p> <p>Dépassant le cadre national la revue appelle à la construction d’une base industrielle de cybersécurité européenne.</p> <p>Deux difficultés sont relevées : la première l’hétérogénéité du marché européen et un accès facile des entreprises non-européenne à celui-ci . Il y a une différence de conception ensuite entre ce qu’est une entreprise européenne (capitaux européens ou enracinement en Europe?).</p> <p>Dès lors, il s’agit de développer le besoin, en dépassant le stade des financements de recherche, mais avec des programmes et un soutien à l’export. Il s’agit ensuite de développer un marché européen pour soutenir les solutions européennes. Un schéma de certification européen permettrait de favoriser l’émergence d’un tel marché tout en garantissant de manière objective la qualité des produits.</p> <p>Enfin une forme de protectionnisme de certains marchés sensibles pourrait être réglementairement imposée.</p> <p>Il est nécessaire cependant de disposer d’un catalogue et d’une offre suffisante. Dans le cas des sondes de détection d’attaque, la revue juge que l’offre est limitée. La LPM 2014-20419 a introduit pour les OIV une obligation de déploiement de sondes qualifiées de détection d’attaque.</p> <p>Selon la revue, l’État est mauvais élève en matière d’utilisation de produits qualifiés.</p> <p>Enfin la revue développe deux ponts intéressants vers l’économie.</p> <p>Il est fait mention de la notation par des agences spécialisées, de l’exposition au risque cyber des entreprises, d’un secteur industriel ou d’un pays. La revue recommande d’investir ce domaine pour ne pas se faire imposer une métrique par les États-Unis.</p> <p>Enfin la revue aborde le domaine de l’assurance face au risque cyber, avec la difficulté d’évaluer la valeur des biens intangibles. Ces « actifs informationnels » ne pouvant ni être quantifiés ni revêtir un aspect juridique ne sont pas assurables.</p> <h4>L’éducation</h4> <p>Le dernier volet de la revue concerne le facteur humain, et il faut se féliciter de cette place, car il est selon nous le pivot central d’une stratégie de cybersécurité, comme il l’est de toute stratégie.</p> <p>Ainsi la revue recommande d’éduquer les Français dès leur plus jeune âge à la cybersécurité, leur permettre d’utiliser et d’acquérir une culture numérique. Cet apprentissage peut jeter des ponts vers de nombreuses autres matières (mathématique, technologie).</p> <p>Ce n’est pas un secret en effet que le taux d’utilisation grimpe en flèche avec les jeunes générations, et 78 % des jeunes entre 13 et 19 ans sont inscrits sur des réseaux sociaux (chiffres en 2015).</p> <p>Mais pour que l’école soit un lieu d’apprentissage efficace, il faut aussi former les formateurs, l’ANSSI au travers de ses fameux « MOOC » (cours en ligne) a ainsi un rôle à jouer. Le but est bien que les élèves sortent du système éducatif français en maîtrisant les enjeux de la cyber sécurité.</p> <p>A côté des actions éducatives, la revue appelle plus largement à sensibiliser le « grand public », en proposant notamment des application sur smartphone, d’encourager l’initiative privée, les MOOC, et en faisant la promotion de l’incitation douce (« nudge »).</p> <p>La revu s’attarde sur le combat contre les préjugés sexistes, pour ne pas décourager les femmes de se tourner vers les métiers de l’informatique. Dans le domaine des formations spécialisées en informatique, l’ANSSI mène avec CyberEdu et SecNumEdu des démarches de sensibilisation et de labellisation de certains cursus.</p> <p>La question centrale enfin de conserver nos talents et d’en attirer est débattue. Le problème identifié est l’isolement du spécialiste en cyber sécurité au sein de l’administration et ses faibles perspectives de carrières. Un pilotage centralisé de ces spécialistes et de ces carrières, leur intégration dans un structure travaillant au profit de plusieurs entités, ou la valorisation de l’exercice des fonctions cyber au sein des administrations permettraient de résoudre ce désamour.</p> <h3>Notre avis</h3> <p>Ce document détaillé et complet représente une belle avancée dans la réflexion cyber française. Solidement construit et appelant à une souveraineté numérique, il dresse un bilan réaliste et critique de la situation française, tout en faisant des propositions pertinentes et innovantes.</p> <p>Il y a cependant 3 commentaires que nous voudrions formuler.</p> <p>D’abord la revue évoque peu les menaces accidentelles qui pèsent sur notre souveraineté numérique : rupture technologique, accident naturel ou erreurs humaines, la menace vient aussi en la matière de numérique « de l’intérieur » . A cet égard il faudrait que le SGDSN s’inspire des démarches de Gestion du Risque Opérationnel pour proposer une cartographie exhaustive de l’ensemble des risques. Ainsi encore récemment, la coupure du câble Americas 2 (par un ancre d’un petit navire de pêche manifestement) a plongé la Guyane dans un black-out quasi total de communication pendant quelques heures (plus aucune communication, ni même numéro d’urgence) et a entraîné deux semaines de ralentissement de l’internet, et donc des activités.</p> <p>La deuxième critique que nous ferions est que la revue néglige les données personnelles. Or aujourd’hui ces données personnelles revêtent un caractère stratégique. Cet oubli est compréhensible puisque leur protection est confiée à la CNIL, dont les interactions avec l’ANSSI sont amenées à augmenter dans les années à venir, et les relations entre l’agence et l’autorité administrative indépendante ne sont pas toujours au beau fixe.</p> <p>Cela ouvre la voie à notre dernière remarque. Le numérique en France est un domaine encore trop morcelé : séparation de l’offensif et du défensif, autorités administratives indépendantes (CNIL, ACERP). Bien sûr Snowden a montré tous les dangers que représentent une intégration et une concentration des pouvoirs trop forts dans les mains d’une seule autorité. Pour autant, tant que la cause du numérique ne revêtira pas un caractère national, la coordination sera difficile.</p> <p>Ce blog proposait en 2012 <a href="http://cyber-defense.fr/blog/index.php?post/2012/10/07/Nos-10-propositions-pour-le-livre-blanc-de-la-d%C3%A9fense-et-la-s%C3%A9curit%C3%A9">la création d’un secrétariat d’état au numérique</a>, cette structure doit encore trouver sa place dans le paysage politique français.</p> <div class="footnotes"><h4>Note</h4> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2018/03/24/Que-retenir-de-la-revus-strat%C3%A9gique-cyber#rev-wiki-footnote-1" id="wiki-footnote-1">1</a>] Dans un discours aux Assises de la sécurité de Monaco, son directeur Guillaume Poupard a insisté sur son aversion à un armement du secteur privé, porte ouverte à toutes les dérives selon lui. « Je suis très inquiet des propositions faites par certains d'autoriser le « hack back », c'est-à-dire reconnaître la faillite des États à protéger leurs entreprises et citoyens, et autoriser les entreprises à s'armer et à répondre aux attaques. Je suis parfaitement opposé et effrayé par ce genre d'idée » a-t-il déclaré. voir <a href="https://www.nextinpact.com/news/105395-lanssi-serige-contre-cyberarmement-entreprises-et-defense-purement-europeenne.htm#/page/2">ici pour plus de détail</a></p></div> http://cyber-defense.fr/blog/index.php?post/2018/03/24/Que-retenir-de-la-revus-strat%C3%A9gique-cyber#comment-form http://cyber-defense.fr/blog/index.php?feed/atom/comments/46 2016, l'année de l'ours urn:md5:99243a5b4211d69d7784fdfe036a78d2 2017-01-20T20:20:00+01:00 2018-03-07T14:47:40+01:00 admin Cyber guerre cyber-guerreEtats-UnisRussiestratégie indirecteéconomie <p>La Russie a quitté cette année le club des 5 pays ayant le plus gros budget de défense. Pour autant, la Russie n'a jamais pesé autant sur la scène internationale, et a largement fait la preuve de sa puissance, y compris militaire.</p> <p><img src="http://cyber-defense.fr/blog/public/depense_mondiales_defense_2016.svg" alt="depense_mondiales_defense_2016.svg" style="display:table; margin:0 auto;" title="depense_mondiales_defense_2016.svg, déc. 2016" /></p> <h3>Des dépenses militaires au plus bas depuis 1990 et une influence diplomatique au plus haut</h3> <p>Si Janes fait état d'une Russie qui rétrograde à la 6eme place des budgets de défense mondiaux, la Russie n'a eut de cesse de gagner de nombreuses batailles sur le terrain. Après l'épisode ossète et ukrainien, succès militaires dans la zone d'influence historique, la Russie a démontré en Syrie sa capacité à soutenir et opérer avec succès au delà de son "glacis". Ces interventions sont accompagnées d'un discours politique cohérent: la priorité à la souveraineté des États devant les droits des peuples; on peut partager ou pas cette position, Vladimir Poutine avance sur l'échiquier international ses pièces avec un sans faute.</p> <p><img src="http://cyber-defense.fr/blog/public/.the_economist_cover_m.jpg" alt="the_economist_cover.jpg" style="display:table; margin:0 auto;" title="the_economist_cover.jpg, déc. 2016" /></p> <h3>Un ascendant jusque dans la campagne américaine</h3> <p>Mais c'est sur le terrain idéologique, que la victoire de l'ours russe est la plus marquante, car partout dans le monde le populisme se répand comme une traînée de poudre. Jusque dans les berceaux de la pensée libérale: aux Royaume Unis et aux États-Unis, on observe de surprenants renversements illustrés par le Brexit puis l'élection de Trump - ce dernier nourrit par ailleurs une certaines sympathie pour Vladimir Poutine. Ces événements ne manquent pas de sel, et le récent discours du président chinois à Davos, louant le libre-échange<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2016/12/19/2016%2C-l-ann%C3%A9e-de-l-ours#wiki-footnote-1" id="rev-wiki-footnote-1">1</a>]</sup>, participe au sentiment d'un espace politique sens dessus dessous.</p> <p>Ainsi Barack Obama en a appelé à une enquête sur fond de soupçons d'influence dans la campagne électorale américaine, et a demandé l'expulsion de diplomates russes, un signe fort en termes de relations internationales mais qui vient encore appuyer un peu plus fort sur cet échec de la politique américaine vis à vis de la Russie.</p> <h3>Le mythe du Hacker russe... et la réalité</h3> <p>Historiquement, la Russie est un pays au premier plan en terme d’apprentissage des mathématiques. Une <a href="http://timss2015.org/advanced/timss-advanced-2015/mathematics/student-achievement/distribution-of-advanced-mathematics-achievement/" hreflang="en" title="Etude internationale sur le niveau des élèves en mathématiques en 2015">étude internationale sur le niveau des élèves en mathématiques en 2015</a> confirme que ce fait est toujours d'actualité. Les mathématiques sont à la base de la programmation informatique, et au vu des faibles débouchés offert par le marché de l'emploi russe dans le domaine, il n'est pas étonnant de voir que la Russie est un vivier de compétence cyber, à la fois en termes de quantité et de qualité.</p> <p><img src="http://cyber-defense.fr/blog/public/.iSIGHT_Partners_sandworm_targets_13oct2014_m.jpg" alt="iSIGHT_Partners_sandworm_targets_13oct2014.jpg" style="display:table; margin:0 auto;" title="iSIGHT_Partners_sandworm_targets_13oct2014.jpg" /></p> <p style="text-align:center;"><i>Sandworn, cyber-attaque utilisée contre l'Ukraine et l'OTAN sert au passage des buts purement criminels, illustrant la porosité des deux domaines dans le paysage cyber russe. (crédit iconographie iSight)</i></p> <p>Dès la chute du mur de Berlin, de nombreux chercheurs russes, laissés pour compte ont versé dans la cyber-criminalité , signant les premières pages de l'histoire du hacking Russe, tel <a href="https://en.wikipedia.org/wiki/Vladimir_Levin">Vladimir Levin</a>. L'état russe, de par son laxisme dans la prévention et la répression de la cyber-criminalité à largement favorisé l'émergence de ce paradis pour hackers. La situation aujourd'hui, avec un appareil d'état qui bénéficie de cette expertise, n'est pas fondamentalement différente, à cela près que la frontière entre cyber-criminels et les cyber-guerriers n'a jamais été aussi poreuse, au gré des besoins de l’état russe.</p> <h3>Avec une Amérique en transition politique, un vaste champ de potentialités en 2017 pour la Russie</h3> <p>Par son utilisation de la sphère cyber ou de moyens conventionnels pour influencer; du soft power au hard power, l'ours Russe a su imposer son calendrier et défendre sa vision avec audace et un évident succès, tout cela avec peu de moyens.</p> <p>A l'heure où la cible des 2% des budgets de défense est devenue une fin en soi, le retour de la Russie nous rappelle cette phrase de Raymond Aron:</p> <blockquote><p>J’appelle puissance sur la scène internationale la capacité d’une unité politique d’imposer sa volonté aux autres unités. En bref, la puissance politique n’est pas un absolu mais une relation humaine</p></blockquote> <p>Ainsi, s'il faut souhaiter que le budget de la défense français ne se voit pas amputé, il faut surtout souhaiter que les choix politiques tracent une voie ferme pour la défense, sans démagogie (Sentinelle...) ni électoralisme.</p> <div class="footnotes"><h4>Note</h4> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2016/12/19/2016%2C-l-ann%C3%A9e-de-l-ours#rev-wiki-footnote-1" id="wiki-footnote-1">1</a>] Cet <a href="https://www.lesechos.fr/17/01/2017/lesechos.fr/0211701757066_le-president-chinois-defend-la-mondialisation-a-davos.htm">article des Echos</a> relate ce nouveau discours inconcevable il y a encore 10 ans.</p></div> http://cyber-defense.fr/blog/index.php?post/2016/12/19/2016%2C-l-ann%C3%A9e-de-l-ours#comment-form http://cyber-defense.fr/blog/index.php?feed/atom/comments/44 Questions sur la cyber-défense. urn:md5:a3e4f5dac3e5178cf9ae97c7b473a1ed 2014-06-06T20:13:00+02:00 2014-06-06T20:13:00+02:00 admin Cyber défense cyber-guerrecyber-offensiveCyberstratégieDissuasionprospectiveSnowdenStuxnetvupen <p>Un étudiant en master nous a transmis quelques questions autour de la cyber-défense pour élaborer un mémoire sur la cyber-sécurité et la cyber-défense, et nous proposons de livrer ici les réponses que nous avons apportées.</p> <p><strong><em>Des évolutions ont eu lieu concernant la prise en compte des menaces émanant du cyberespace. On peut noter une augmentation de l’intérêt des politiques pour ces « nouvelles » menaces (Livre Blanc de 2008 ; création de l’ANSSI en 2009 ; rapport Bockel sur la cyberdéfense en 2012 ; enfin Livre Blanc 2013). Dès lors, pensez-vous que le sujet est suffisamment traité au niveau national ?</em></strong></p> <p><em>Cyber-defense.fr</em>: Le préfixe "cyber" apparaît 10 fois plus souvent dans le nouveau LBDSN de 2013 comparé à celui de 2008, on ne peut nier le sursaut dans la prise de conscience des pouvoirs publics pour cette thématique. Toutefois, si l'on compare les moyens français avec ceux de puissances comparables à la France (UK, Allemagne), il y a encore un effort important à faire.</p> <p><strong><em>Les agences de l’Etat, comme l’ANSSI, doivent-elles fixer une ligne de conduite spécifique, en matière de cybersécurité, aux entreprises du secteur privé, qui se positionnent sur des secteurs clefs relevant de l’intérêt national ?</em></strong></p> <p><em>Cyber-defense.fr</em>: Clairement, oui. Pour les opérateurs d'infrastructures critiques il faut définir un cadre et des normes claires, pour les autres entreprises, les répercussions étant moins évidentes, il apparaît suffisant de fournir des recommandations. Mais au-delà de l'Etat, c'est même l'union européenne qui va nous imposer demain cette « hygiène informatique élémentaire »  que prônait l'ancien patron de l'ANSSI P. Pailloux. Une directive de l'UE relative à la sécurité des réseaux et de l'information est en préparation (le texte de l'UE est disponible ici <a href="http://ec.europa.eu/digital-agenda/en/news/eu-cybersecurity-plan-protect-open-internet-and-online-freedom-and-opportunity-cyber-security" hreflang="en" title="site de l&#039;Union Européene">http://ec.europa.eu/digital-agenda/en/news/eu-cybersecurity-plan-protect-open-internet-and-online-freedom-and-opportunity-cyber-security</a>).</p> <p><strong><em>Est-il nécessaire de créer des « cloud souverains » afin de préserver des données qui sont sujet aux risques d’atteinte à la confidentialité lorsqu’elles ont un caractère sensible ?</em></strong></p> <p><em>Cyber-defense.fr</em>: Les pouvoirs publics (et de nombreux acteurs privés: Iliad, OVH...) n'ont pas attendu cette proposition pour élaborer des 'datacenter' de qualité. Selon nous le « Cloud souverain » est un concept très flou, inutile aux entités détenant des informations confidentielles qui maîtrisent déjà très bien les processus pour stocker leurs données. Comme certaines affaires l'ont montré, le maillon faible dans le stockage de données confidentielles n'est pas la solution technique, mais le facteur humain : Snowden, Manning ...</p> <p><strong><em>Peut-on imaginer, en cyberstratégie, une analogie avec la dissuasion nucléaire, et ainsi la création d’une cyberdissuasion ?</em></strong></p> <p><em>Cyber-defense.fr</em>: la dissuasion repose sur la crédibilité d'actions de représailles et sur la possibilité d'attribution. Pour le premier aspect, tant qu'il n'y aura pas un « cyber Hiroshima », la menace cyber restera peu crédible face à des représailles classiques. D'autre part la certitude d'attribution (bien que prétendument maîtrisée par les US) n'est pas acquise. Par conséquent l'analogie avec la dissuasion nucléaire reste un concept selon nous très limité.</p> <p><strong><em>Dans ce cas-là, le futur de la cybersécurité passe-t-il par le développement de cyberarmes ?</em></strong></p> <p><em>Cyber-defense.fr</em>: Ne dit-on pas que la meilleure défense, c'est l'attaque ? En termes techniques, dans la sphère cyber, il faut avoir un très haut niveau de compétence dans les différentes attaques pour pouvoir les parer. A cet égard, rares sont les spécialistes du domaine qui n'ont pas d'abord une expérience de hacker (« black » ou « grey » hat!) ou qui s’adonnent à ce qu'il est commun d’appeler du pentesting (test de pénétration). Dès lors les pays et structures qui ont une connaissance avancée dans le domaine de l'offensive sont certainement mieux préparés pour empêcher ou contrer une attaque et donc assurer leur sécurité.</p> <p><strong><em>Si l’on part du postulat que le cyberespace est un nouvel espace géographique, au sein duquel s’appliqueraient des règles spécifiques, comme pour d’autres espaces, le droit de l’espace, le droit aérien, ou encore le droit de la mer: peut-on dès lors imaginer que des traités internationaux, ou régionaux, fassent leur apparition avec pour objet spécifique, la cybersécurité ou la cyberdéfense ? Peut-on espérer un droit du cyberespace ?</em></strong></p> <p><em>Cyber-defense.fr</em> : Le cyber espace est déjà particulièrement normé (RFC, normes constructeurs...) et pour l'instant que ce soit en terme de norme comme d'administration (noms de domaines par exemple), les États-Unis sont en position de domination. Il y a eu plusieurs tentatives dans le domaine, il faut aujourd'hui d'abord retenir le débat autour de la neutralité du réseau. Pour le reste, le droit de la sphère cyber ne peut être séparé des autres disciplines du droit (relations internationales, droit commercial, propriété intellectuelle) qui sont elles, ancrées dans des limites géographiques et des sphères d'influences d’acteurs précis. Ce qui est sûr, c'est que le cyber-espace sera à l'avenir l'objet de toujours plus de normes et traités, par les États mais aussi les acteurs inter-étatiques (OTAN, UE, mais aussi consortium d'entreprises...). Dans le domaine des cyber-conflits, voir ainsi le manuel de Tallinn: <a href="http://ccdcoe.org/249.html" hreflang="en" title="le manuel, sur le site du CCDCOE">http://ccdcoe.org/249.html</a>.</p> <p><strong><em>Pouvez-vous me parler brièvement des principales menaces au sein du cyberespace (attaques DDOS, le virus Stuxnet…) ?</em></strong></p> <p><em>Cyber-defense.fr</em> : Selon nous on peut les classer selon les trois types suivants:</p> <ol> <li>criminels (leur but=argent, y compris l'espionnage industriel);</li> <li>"hacktivists" (but=partager/imposer une opinion, des idées) et enfin:</li> <li>états (but=contrôle au sens large ce qui inclut la coercition).</li> </ol> <p><strong><em>Les hackers et cyberterroristes sont les acteurs qui viennent en premier à l’esprit quand on parle de cyberattaques. Mais qu’en est-il des Etats ? Disposent-ils de moyens suffisants pour lancer ce type d’attaque (notamment la France) ? Ont-ils recours à des personnes privées afin de lancer ce genre d’attaque ?</em></strong></p> <p><em>Cyber-defense.fr</em> : Les révélations de Snowden ont démontré que les US disposent d'un ensemble de moyens incomparablement supérieur à n'importe quel acteur privé (qu'ils « fédèrent » d'ailleurs autour de leur système de surveillance). Pour le reste des pays, il faut rester dans la supposition. En France nous disposons certainement de bonnes capacités offensives comme le montrent certaines allusions lors d'auditions parlementaires. De même nous avons quelques entreprises très bien positionnées (Par exemple Qosmos, spécialisée dans le filtrage; ou encore Vupen dans les vulnérabilités 0-days) . En revanche rien ne nous permet de penser que des entreprises françaises travailleraient uniquement pour le compte de l’État français. (Voir <a href="http://cyber-defense.fr/blog/index.php?post/2013/04/09/Le-march%C3%A9-des-cyber-armes%3A-un-march%C3%A9-gris">notre billet sur le marché cyber</a> ).</p> <p><strong><em>Les nouveaux acteurs comme Wikileaks ou les Anonymous constituent-ils de réelles menaces pour la sécurité des systèmes d’informations ?  </em></strong></p> <p><em>Cyber-defense.fr</em>: Il en sont un aspect (voir plus haut), mais certainement pas la menace principale. Pour nous, dans un sens ils participent même à l'équilibre des forces.</p> <p><strong><em>Peut-on imaginer un développement des cyberattaques tel que le cyberespace devienne l’espace privilégié des conflits à venir ?</em></strong></p> <p><em>Cyber-defense.fr</em>: C'est de la prospective à très long terme et donc un sacré pari. C'est selon nous envisageable à l'horizon de la fin du siècle mais d'ici là, il faut s’attendre à d'autres ruptures technologiques qui pourraient aussi bien de nouveau ancrer la guerre dans la sphère réelle : par exemple les nano-technologies.</p> <p><strong><em>Au contraire la cyberstratégie restera-t-elle plus modestement un des pans de la stratégie militaire française ?</em></strong></p> <p><em>Cyber-defense.fr </em>: Un des pans peut-être, mais un courant de pensée en pleine expansion. Toutes les potentialités sont loin d'avoir été explorées et le domaine reste en pleine évolution.</p> http://cyber-defense.fr/blog/index.php?post/2014/05/31/Questions-sur-le-cyber-d%C3%A9fense.#comment-form http://cyber-defense.fr/blog/index.php?feed/atom/comments/42 Rétrospective 2013 urn:md5:ba8567b36040b2338ee71dbf53aad7c7 2014-02-03T13:04:00+01:00 2014-04-21T22:48:25+02:00 admin Défense en général dassaultindustrie de défenseprospective et stratégieSnowden <h5>2013, Snowden, An 1</h5> <p>2013 restera d'abord à jamais marquée par l'affaire Snowden. Même si les révélations faites par Snowden n'ont rien eu de révolutionnaires - après tout on se doutait que les services secrets menaient des actions clandestines y compris dans la sphère cyber; elles ont permis de donner un contour aux fantasmes et allégations auxquels ont pouvait se laisser aller. L'ampleur et la sophistication du système NSA dépasse largement ce à quoi on pouvait s'attendre: en terme d'échelle mais aussi de sophistication. Comme les États-Unis savent le faire dans le domaine de certains projets restés secrets (comme leurs avions furtifs...) ils ont su conserver une longueur d'avance dans le domaine.</p> <p>Reste que globalement, ces révélations ont surtout régalé les spécialistes du secteur et n'ont pas changé grand chose à la conscience collective. Et ce n'est pas la fuite de plus de 800.000 comptes-client d'abonnés Orange, information passée presque inaperçue à côté d'une vidéo de chat se faisant maltraiter qui viendra nous faire mentir.</p> <p>Aujourd'hui, la protection de la vie privée dans le cyber espace n'est pas une préoccupation de la majorité des citoyens.</p> <p><img src="http://cyber-defense.fr/blog/public/.Edward_Snowden-2_m.jpg" alt="Edward_Snowden-2.jpg" style="display:block; margin:0 auto;" title="Edward_Snowden-2.jpg, janv. 2014" /></p> <p style="text-align:center;">Edward Snowden (credit photo Wikipedia)</p> <h5>La cyber défense entre incantation et opacité</h5> <p>2013 c'est aussi l'année du nouveau Livre Blanc sur la Défense et la sécurité. Celui-ci a laissé transparaître une <a href="http://cyber-defense.fr/blog/index.php?post/2013/04/29/Le-livre-blanc-sur-la-d%C3%A9fense-et-la-s%C3%A9curit%C3%A9-de-2013">volonté forte d'investir dans la cyberdéfense</a>. A ce jour toutefois il n'y a pas eu de grandes manœuvres, tout au plus quelques annonce du ministre Jean Yves le Drian qui a placé la Bretagne au centre de ses efforts en renforçant des structures déjà existantes à Bures.</p> <p>Aussi dans <a href="http://www.defense.gouv.fr/ministre/prises-de-parole-du-ministre/prises-de-parole-de-m.-jean-yves-le-drian/discours-du-ministre-de-la-defense-au-colloque-sur-la-cyberdefense">son discours prononcé à Rennes</a> le ministre avait détaillé 5 "axes d'effort":</p> <ul> <li>Le développement d'une capacité offensive au niveau de l'Etat</li> <li>350 personnels d'ici 2019 et un effort au sien du ministère de la défense en partenariat avec nos alliés</li> <li>la colocalisation des centres de surveillance relevant de l’ANSSI et de la chaîne cyber des armées, avec une nouvelle doctrine "de cyberdéfense militaire" à paraître</li> <li>le renforcement de la base industrielle de technologies de défense et de sécurité nationale en encourageant la R&amp;D</li> <li>Le développement de la réserve citoyenne et opérationnelle</li> </ul> <p>Naturellement eut égard au caractère toujours très confidentiel des attaques informatiques et des moyens pour les contrer, il ne faut pas s'attendre à voir, comme dans d'autres domaines, tous les efforts du ministère rendus publics.</p> <h5>Un effort de long terme</h5> <p>Bien sûr, dans le domaine il ne fallait pas s'attendre à une révolution. D'abord parce que l'investissement est en partie "virtuel" et fait bien moins de bruit qu'un Rafale pleine post-combustion, mais surtout parce que c'est un travail de longue haleine qui repose d'abord sur les compétences et expertises de spécialistes qui sont très demandés sur <a href="http://lemamouth.blogspot.fr/2014/02/cyber-des-tensions-sur-le-recrutement.html">un marché concurrentiel</a>.</p> <p>Finalement, si l'investissement français dans la cyber défense est aussi faible, c'est d'abord parce que nos choix reposent sur des grands projets portés par des grands groupes de défense et d'armement. Le produit précède la mission. Le besoin passe au second plan devant la nécessité de remplir les carnets de commande des industriels du secteur (A400M, Rafale, Leclerc etc. ...). Si ces programmes -qui sont souvent de vraies réussites technologiques et industrielles permettent en plus de remplir la mission, tant mieux. Mais clairement, ces grandes directions dessinées 20 à 30 ans avant la mise en service sont de vrais paris sur l'avenir, qui se révèlent, trop souvent être perdants.</p> <p>Cette situation n'est pas complètement scandaleuse. Avoir un tissu industriel et de défense dynamique présente aussi un intérêt majeur pour la défense française: elle représente un enjeux de souveraineté et participe au dynamisme global de l'économie qui est indirectement dans l’intérêt de la défense.</p> <p><img src="http://cyber-defense.fr/blog/public/.catia-3ds_m.jpg" alt="catia-3ds.jpg" style="display:block; margin:0 auto;" title="catia-3ds.jpg, janv. 2014" /></p> <p style="text-align:center;">Logiciel Catia 3D de Dassault Systèmes (credit photo DS - 3ds.com)</p> <p>Avec ces données structurelles, il faut donc souhaiter que l'offre en matière de cyber défense et cyber sécurité s'étoffe au niveau national et européen. Tous les géants de la défense américaine ont pris ce tournant vers la cyber défense au début de la décennie. La France qui possède un beau potentiel en la matière (nombreuses SSI, écoles d'ingénieurs de haut niveau), doit s'engager sur la même voie. Dassault, dont la filiale Dassault systèmes spécialisée dans le logiciel de conception 3D est une belle réussite, est par exemple le grand absent de ce marché prometteur.</p> http://cyber-defense.fr/blog/index.php?post/2014/02/03/R%C3%A9trospective-2013#comment-form http://cyber-defense.fr/blog/index.php?feed/atom/comments/41 Peut-on encore avoir confiance dans la cryptographie ? urn:md5:bca2e9526d360bf0486737ac78b05c60 2013-09-23T06:37:00+02:00 2013-09-23T06:37:00+02:00 admin Cyber espionnage Bruce Schneiercryptographiecyber-surveillancePRISMSnowdenThe Economist <p>Elle protège les transactions entre les banques, les données confidentielles de toute sorte et est à la base d'un secteur de l'économie qui pèse près de 1000 milliards d'euros: la cryptographie a envahi notre quotidien, et en est devenue un élément essentiel. La plupart des utilisateurs de ces services ont confiance dans le chiffrement sans vraiment en connaître le principe de fonctionnement. La cryptographie pour la majeure partie de la population, c'est d'abord une question de <em>confiance</em>.</p> <p>Pour les 0,1% restant, elle est la base de la sécurité de la sphère cyber.</p> <p>La cryptographie a transformé les chiffres en armes<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2013/09/21/Peut-on-encore-avoir-confiance-dans-la-cryptographie#pnote-40-1" id="rev-pnote-40-1">1</a>]</sup>et certains mathématiciens en combattants. Pourtant il a fallu longtemps à ces premiers cyber-guerriers pour être reconnus. Ceux-ci ont connu leur première victoire majeure lors de la seconde guerre mondiale avec Enigma. C'est à Betchley Park qu'une légion d'anonymes scientifiques déchiffrèrent ainsi les communications allemandes, mais aussi italiennes et japonaises; avantage décisif réputé pour avoir écourté de deux ans le second conflit mondial. Dans cet univers du secret, il fallut attendre les années 70 pour que dans un livre intitulé <a href="http://en.wikipedia.org/wiki/F._W._Winterbotham">The ultra Secret</a> , toute la lumière soit faite sur ces héros de l'ombre<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2013/09/21/Peut-on-encore-avoir-confiance-dans-la-cryptographie#pnote-40-2" id="rev-pnote-40-2">2</a>]</sup>. Désormais, la maîtrise du chiffrement conditionne une grande part des capacités offensives mais aussi les vulnérabilités d'un acteur du domaine cyber.</p> <p><img src="http://cyber-defense.fr/blog/public/.enigma_m.jpg" alt="Machine Enigma H" style="display:block; margin:0 auto;" title="Machine Enigma H, sept. 2013" /> <em>Exemplaire de machine Enigma H (source <a href="http://www.cryptomuseum.com/crypto/enigma/h/index.htm">cryptomuseum</a>)</em></p> <h5>Les révélations de Snowden</h5> <p>Le monde de la cryptologie se divise en deux catégories&nbsp;: ceux qui font passer des messages cryptés avec le maximum de sécurité, les cryptographes&nbsp;; et ceux qui s’acharnent à les déchiffrer&nbsp;: les cryptanalystes. Au cours des années certains procédés cryptographiques <em>réputés</em> sûr (d'où le terme de <em>confiance</em> toujours connexe de la notion ...) ont été cassés, ou bien sont devenus moins sûrs. Parfois grâce à des vulnérabilités théoriques, parfois aussi à cause de certains biais d'utilisation, et enfin grâce au progrès dans la puissance de calcul des ordinateurs. Si on s'en remet à l’histoire, on peut en déduire qu'aucun procédé de chiffrement ne peut être sûr à 100%.<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2013/09/21/Peut-on-encore-avoir-confiance-dans-la-cryptographie#pnote-40-3" id="rev-pnote-40-3">3</a>]</sup>.</p> <p>Dans ces conditions les documents révélés par Edward Snowden viennent apporter deux éclairages différents sur cette lutte entre cryptographes et cryptanalystes. Le premier évoque la possibilité que la NSA puisse jouir d'une relative avance en terme de recherche dans le domaine de la cryptographie; en ne publiant pas les vulnérabilités sur différents procédés cryptographiques, elle obtient donc un avantage. Cet aspect était déjà soupçonné, et somme toute assez évident, même s'il peut être choquant que des découvertes mathématiques puissent rester confidentielles (mais cependant, la gloire de la <a href="http://fr.wikipedia.org/wiki/M%C3%A9daille_Fields">médaille Fields</a> représente peut-être pour certains mathématiciens une récompense moins intéressante que les dizaines de millions de dollars qu'une avancée sur le <a href="http://fr.wikipedia.org/wiki/Logarithme_discret">logarithme discret</a> pourrait rapporter). Le deuxième aspect, plus inquiétant, est que la NSA ne se contente pas de casser les procédés de chiffrements mais les sabote en amont.</p> <h5>Le risque de la "backdoor"</h5> <p>Comment la NSA saboterait t-elle les procédés cryptographiques&nbsp;? De plusieurs manières si on en croit <a href="http://www.theguardian.com/world/2013/sep/05/nsa-gchq-encryption-codes-security">cet article du Guardian</a>. Ainsi la NSA aurait imposé des procédés de cryptage volontairement vulnérables via les autorités de standardisation, et aurait même influencé ou infiltré les acteurs majeurs du secteur IT. Ces révélations permettent de comprendre plusieurs soupçons passés, notamment <a href="https://www.schneier.com/essay-198.html">cet article</a> de Bruce Schneier en 2007, qui faisait l'hypothèse d'une porte dérobée dans un procédé de chiffrement proposé par la NSA à l'office de standardisation US<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2013/09/21/Peut-on-encore-avoir-confiance-dans-la-cryptographie#pnote-40-4" id="rev-pnote-40-4">4</a>]</sup>. La NSA est en effet un acteur majeur de la capacité normative<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2013/09/21/Peut-on-encore-avoir-confiance-dans-la-cryptographie#pnote-40-5" id="rev-pnote-40-5">5</a>]</sup> américaine.</p> <p>Au delà de cette capacité à façonner la norme à son avantage la NSA a poursuivi une véritable campagne pour introduire des portes dérobées dans des logiciels commerciaux. On peut notamment lire dans des présentations qui ont fuité, que la NSA "se mobilisait auprès des entreprises américaines et étrangères du secteur IT pour influencer secrètement et/ou ouvertement tirer parti des procédés de leurs produits commerciaux (...) et insérer des vulnérabilités dans les systèmes de cryptographie commerciaux". Apparemment, le nom des sociétés concernées serait couvert par un niveau de secret encore plus élevé que celui des documents dévoilés par Snowden.</p> <p><img src="http://cyber-defense.fr/blog/public/NSA-Bullrun-1-001.jpg" alt="Extrait d&#039;une présentation par le GCHQ" style="display:block; margin:0 auto;" title="Extrait d&#039;une présentation par le GCHQ, sept. 2013" /> <em>Les cyber-espions se réjouissent des vulnérabilités du net ... (source: The Guardian)</em></p> <h5>Faut-il céder à la paranoïa&nbsp;?</h5> <p>Certes pas. D'ailleurs Snowden lui-même reconnaissait:</p> <blockquote><p>"les systèmes cryptographiques correctement élaborés sont une des rares choses dans lesquels vous pouvez avoir confiance"</p></blockquote> <p>Tout l'enjeu se situe donc autour du terme <em>"correctement élaboré"</em>. Pour le grand public, il est évident que se soustraire à la surveillance des gouvernements requiert un excellent niveau d'expertise. Pour les États et en particulier l’État français, la problématique est tout autre. On se rappelle en effet l'audition de l'officier général cyber devant l'assemblée nationale<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2013/09/21/Peut-on-encore-avoir-confiance-dans-la-cryptographie#pnote-40-6" id="rev-pnote-40-6">6</a>]</sup> l'Amiral Coustillère s'était peu ému des risques de portes dérobés dans les logiciels utilisés au sein des forces armées<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2013/09/21/Peut-on-encore-avoir-confiance-dans-la-cryptographie#pnote-40-7" id="rev-pnote-40-7">7</a>]</sup>. On espère sincèrement que ces déclarations édulcorées par le devoir de secret, ne cachent pas un trou béant de sécurité au niveau de notre cyber-défense.</p> <p>En tout état de cause ces révélations devraient stimuler l’intérêt pour la cryptographie. Ainsi de nombreux procédés de communication sécurisés ont vu leur usage augmenter depuis les révélations de Snowden. On peut citer ainsi la tentative du Français Eric Filiol pour proposer un système de messagerie sécurisé sur les terminaux mobiles, <a href="http://cvo-lab.blogspot.fr/2013/09/sms-perseus-quelques-reflections.html">SMS Perseus</a>.</p> <h5>Des retombées négatives pour l'industrie informatique américaine</h5> <p>Finalement, comme le souligne The Economist dans <a href="http://www.economist.com/news/international/21586296-be-safe-internet-needs-reliable-encryption-standards-software-and">cet article</a> les conséquences les plus néfastes de cette crise de confiance, se situent au niveau des grands groupes américains. En Allemagne, l'affaire qui fait grand bruit a conduit à l'appel au boycott par certains hommes politiques des géants du web américains; en Inde le gouvernement envisagerait d'interdire la messagerie de Google pour tout usage officiel. Ainsi un <a href="http://www.itif.org/publications/how-much-will-prism-cost-us-cloud-computing-industry">rapport</a> publié par un think-tank spécialiste du domaine des communications et nouvelles technologies, chiffre entre 22 et 35 milliards de dollars US, les pertes dues à cette crise de confiance d'ici 2016. Au États-Unis la classe politique a réagi en voulant <a href="http://www.nytimes.com/2013/09/07/us/politics/legislation-seeks-to-bar-nsa-tactic-in-encryption.html?pagewanted=all">interdire par la loi</a>, certaines pratiques à la NSA.</p> <p>En définitive, la mise à nu du système de cyber-surveillance américain, en affectant les géants du secteur, porte un coup à sa base industrielle et technologique. Aussi ce pilier qui porte en grande partie la cyber-puissance américaine, s'en trouve ébranlé.</p> <div class="footnotes"><h4 class="footnotes-title">Notes</h4> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2013/09/21/Peut-on-encore-avoir-confiance-dans-la-cryptographie#rev-pnote-40-1" id="pnote-40-1">1</a>] Aux Etats-unis certains procédés cryptographiques sont des <a href="http://en.wikipedia.org/wiki/Export_of_cryptography_in_the_United_States">armes de 11eme catégorie</a>.</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2013/09/21/Peut-on-encore-avoir-confiance-dans-la-cryptographie#rev-pnote-40-2" id="pnote-40-2">2</a>] On peut toutefois rappeler que cette entreprise fut facilité par la capture d'une machine et de ses livrets de code à bord du sous marin <a href="http://fr.wikipedia.org/wiki/Unterseeboot_110_%281940%29">U110</a>.</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2013/09/21/Peut-on-encore-avoir-confiance-dans-la-cryptographie#rev-pnote-40-3" id="pnote-40-3">3</a>] Même le chiffrement par clés asymétriques sur lequel repose une grande partie du chiffrement aujourd'hui, pourrait être <a href="http://www.technologyreview.com/news/517781/math-advances-raise-the-prospect-of-an-internet-security-crisis/">percé à l'horizon de quelques années</a>; il est amusant de noter qu'Antoine Joux, mathématicien français à l'origine de cette remise en question, travaille dans un laboratoire français du nom de <a href="http://www.prism.uvsq.fr/">PRISM</a>.</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2013/09/21/Peut-on-encore-avoir-confiance-dans-la-cryptographie#rev-pnote-40-4" id="pnote-40-4">4</a>] le dénouement de l'affaire évoqué <a href="http://www.wired.com/threatlevel/2013/09/rsa-advisory-nsa-algorithm/">ici</a>.</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2013/09/21/Peut-on-encore-avoir-confiance-dans-la-cryptographie#rev-pnote-40-5" id="pnote-40-5">5</a>] Dans son ouvrage intitulé "Cyber stratégie l'art de la guerre numérique", Bertrand Boyer cite à raison la <em>capacité normative</em> comme un des piliers de la cyber-puissance. Envisagée seulement dans son livre comme une "nouvelle forme de diplomatie et d'influence" il faut voir même au delà un véritable moyen de contrôle clandestin.</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2013/09/21/Peut-on-encore-avoir-confiance-dans-la-cryptographie#rev-pnote-40-6" id="pnote-40-6">6</a>] Et notamment ce passage "Le ministère de la Défense a fait le choix d’un accord-cadre avec Microsoft, ce qui, de mon point de vue, ne présente pas un risque de sécurité supérieur par rapport à l’utilisation de logiciels libres."<a href="http://www.assemblee-nationale.fr/14/cr-cdef/12-13/c1213079.asp">audition devant l'assemblée nationale, le 12 juin 2013</a></p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2013/09/21/Peut-on-encore-avoir-confiance-dans-la-cryptographie#rev-pnote-40-7" id="pnote-40-7">7</a>] Lire <a href="http://www.pcinpact.com/news/80047-open-bar-microsoft-deputee-demande-comptes-a-defense.htm">ici</a> le débat qu'avait déclenché l'offre dite "open bar" de Microsoft pour le ministère de la défense française.</p></div> http://cyber-defense.fr/blog/index.php?post/2013/09/21/Peut-on-encore-avoir-confiance-dans-la-cryptographie#comment-form http://cyber-defense.fr/blog/index.php?feed/atom/comments/40 EDITO: Syrie - acte 2.0 urn:md5:656d44795b7fbc1e530b092306097313 2013-09-02T08:39:00+02:00 2013-09-02T13:16:12+02:00 admin cyber-activismecyber-surveillanceLPMPRISMSnowdenSyrie <p>L'été fut riche en actualités cyber et défense. La présentation de la Loi de Programmation Militaire a confirmé l'importance de la cyber-défense tout en diminuant les ambitions globales de la France dans le domaine de la défense. Les documents dérobés par Edward Snowden, ancien consultant pour la NSA, apportent chaque semaine un nouveau lot de révélations sur le système de cyber-surveillance américain. En cette rentrée, l’actualité internationale la plus bruyante est bien évidement la Syrie. Quelques articles que nous avons mentionnés sur notre <a href="https://twitter.com/cyberdefenseFR">Twitter</a> offrent une analyse selon nous assez fine et objective des événements de ces dernières semaines.</p> <p>A la veille de possibles frappes punitives, puisque c'est le terme employé par le président Hollande, nous sommes convaincus que les bruits de bottes autour de la Syrie ne résoudront rien. En effet, une fois dépassées les premières salves punitives sur des sites supposés fidèles à Assad que restera t-il&nbsp;? Dans le meilleur des cas un chaos et un protagoniste (Assad) plus acculé et désespéré à commettre des exactions, peut-être aussi des images montrant de nouvelles victimes de ces frappes "chirurgicales" qui radicaliseront de nouveaux combattants. Dans le pire des cas: un embrasement du Liban et des effets néfastes sur la stabilité d'autres voisins (Israël, Sinaï, Turquie, Jordanie ...). Ainsi, si l'on raisonne en terme d'effet final recherché, une frappe, même massive n'apporte rien de plus finalement que ce qu'avance le président Hollande: "une punition". Cette punition est forcément aveugle car on ne va pas punir les responsables d'un massacre chimique à coup de tomahawk et de scalp EG. Surtout, l'après-frappe laisse planer une nouvelle question, et si Bachar Al Assad recommence: on fait quoi&nbsp;? La même aventure qu'en Irak&nbsp;?</p> <p><img src="http://cyber-defense.fr/blog/public/.sea_m.jpg" alt="sea.png" style="display:block; margin:0 auto;" title="sea.png, sept. 2013" /></p> <p>Du côté cyber, la crise Syrienne continue de confirmer que la sphère cyber supprime le filtre des appareils d'Etat entre les peuples et les acteurs du terrain. Avec la transmission des photos et des vidéos en instantané, internet donne potentiellement une tribune internationale à chaque combattant. Si une cyber armée syrienne s'en est prise au site du New York Times ou à Twitter, ces représailles quoique spectaculaires restent limitées. Mais la sphère cyber est un moyen vital pour l’opposition syrienne, même avec des moyens rustiques, pour à la fois se coordonner et communiquer. De notre côté, le renseignement qu'elle nous apporte permet de chercher des preuves accusatoires d'un camp ou de l'autre. Cela nous laisse entrevoir un futur à un horizon de dix ans dans lequel une <a href="http://www.wired.com/wiredscience/2013/05/sensors-listen-to-world/">multitude de capteurs connectés </a> et des constellations de <a href="http://www.wired.com/wiredscience/2013/06/startup-skybox/">micro satellites</a> rendraient difficile toute dissimulation.</p> <p>En dernier lieu et on le voit dans les hésitations au Royaume-Unis ou en Italie, la véritable guerre de communication que se livre chaque camp peux faire penser la balance de la légitimité d'une intervention.</p> <p>Toutefois, l'actualité c'est aussi la rentrée scolaire. Rappelons-nous que la guerre -même au travers de machines - reste une dialectique des volontés, et est donc par essence une activité humaine. Une population bien éduquée, curieuse et exerçant ses capacités de réflexion reste une composante majeure de la puissance d'un pays. Dans un monde toujours plus technique, face à une crise qui est aussi une mise à l'épreuve de notre compétitivité, notre niveau d'éducation est aussi une question de sécurité nationale.</p> http://cyber-defense.fr/blog/index.php?post/2013/08/29/EDITO%3A#comment-form http://cyber-defense.fr/blog/index.php?feed/atom/comments/39 Une montée en puissance de la cyber-défense aux accents bretons urn:md5:aae1b7b3eb1b3b962c4aa23ba9c94766 2013-06-04T11:50:00+02:00 2013-06-04T18:48:05+02:00 admin Cyber défense ANSSIbretagnecyber-offensiveJean Yves le Drianlivre blanc <p>Hier, le ministre de la défense est intervenu au cours d'un colloque organisé à l’École des Transmissions de Rennes. On connait l'attachement de Jean-Yves Le Drian à la Bretagne, et le ministre n'a pas manqué de placer sa région, en proposant un pôle d'excellence de la cyber-défense:</p> <blockquote><p>«&nbsp;Ce pôle pourrait se traduire par un projet ambitieux qui pourrait naître ici. Parce que, en matière de défense, nous avons deux creusets - et c’est la mission que je leur donne - les écoles de Saint-Cyr Coëtquidan et l’école des transmissions. Et, autour, il y a des partenariats avec les grandes écoles de Bretagne, des grands centres universitaires de la région, et une volonté des élus locaux et régionaux. Il faut les réunir et les porter dans une dynamique commune. Le ministère est déterminé à y contribuer&nbsp;» (source Ouest France)</p></blockquote> <p><img src="http://cyber-defense.fr/blog/public/ouestfrance_JYLD.jpg" alt="Jean-Yves Le Drian à Rennes le 3 juin" style="display:block; margin:0 auto;" title="Jean Yves Le Drian à Rennes le 3 juin, juin 2013" /> Jean-Yves Le Drian à Rennes le 3 juin (Crédit photo Ouest France)</p> <p>Son allocution a confirmé les lignes directrices fixées dans le livre blanc, à savoir: le développement de capacités de cyber-offensives et une augmentation des moyens budgétaires, mais aussi la création de la cyber-réserve, dont nous sommes impatients de voir la concrétisation. Dans un contexte de réduction d'effectif à la défense, le ministre a annoncé que 350 personnels supplémentaires seraient affectés à la cyber-défense.</p> <p>Surtout, le ministre a annoncé une colocalisation de l'ANSSI et de la chaînes des "cyber-armes". Ce rapprochement a du sens et devrait, selon nous, constituer le point de départ d'un secrétariat d’État au cyberespace comme nous le défendions dans <a href="http://cyber-defense.fr/blog/index.php?post/2012/10/07/Nos-10-propositions-pour-le-livre-blanc-de-la-d%C3%A9fense-et-la-s%C3%A9curit%C3%A9">cet article</a>.</p> <p>Le pays breton abrite de prestigieuses écoles d'informatique et de télécommunication, mais il est loin d'être le seul. Ainsi le favoritisme du ministre affiché à la fois pour la région (Bretagne) et la couleur de l’uniforme (armée de terre) ne rend peut-être pas justice à la cyber-défense: une priorité à la fois nationale, inter-armées, voire inter-ministérielle.</p> <p>EDIT 1: le texte intégral du discours <a href="http://www.infosdefense.com/wp-content/uploads/2013/06/Discours-cyber-ETRS-1.pdf">ici</a>.</p> http://cyber-defense.fr/blog/index.php?post/2013/06/04/Une-mont%C3%A9e-en-puissance-Bretonne-de-la-cyber-d%C3%A9fense#comment-form http://cyber-defense.fr/blog/index.php?feed/atom/comments/37 Livre blanc: la cyberdéfense mise en avant. urn:md5:2f086af02eb210b583eedb732030ccb4 2013-04-29T15:36:00+02:00 2013-04-30T14:08:00+02:00 admin Défense en général livre blanclutte informatique offensiverapport Bockel <p>Le livre blanc sur la défense et la sécurité nationale (LBDSN) a été remis officiellement au président François Hollande ce matin. Plus réaliste au vu des contraintes budgétaires, sans rompre complètement avec le précédent opus, celui-ci s'apparente à un recadrage des ambitions françaises.</p> <p>Surtout, en dehors d'une homothétie du format des armées, le livre blanc de 2013 est marqué par l'essor du cyberespace et du risque de cyberattaques qui "constituent une menace majeure, à forte probabilité et à fort impact potentiel". Déjà, le préfixe "cyber" apparaît 36 fois (hors sommaire) pour 160 pages, quand il apparaissait, en 2008, seulement 6 fois pour 350 pages. C'est un facteur 10, et c'est un signe que le domaine devient un aspect fondamental de la défense et sécurité de la France:</p> <blockquote><p>"Le cyberespace est donc désormais un champ de confrontation à part entière."</p></blockquote> <p>Ainsi le LBDSN 2013 affirme que le dispositif de cyberdéfense est appelé à s’amplifier "dans les années qui viennent". De quelle manière le LBDSN entend développer ces capacités&nbsp;?</p> <h5>Un renforcement des capacités militaires de cyberdéfense</h5> <p>Le LBDSN parle de capacités <strong>défensives et offensives</strong> et d'une chaîne opérationnelle de cyberdéfense "centralisée à partir du centre de planification et de conduite des opérations de l’état-major des armées". La DGA se voit confier le volet technique sans qu'une allusion à la <a href="http://cyber-defense.fr/blog/index.php?post/2012/08/30/La-maitrise-des-SIC%2C-le-d%C3%A9fi-impossible">DIRISI</a> ne soit faite, ce qui marque selon nous un désir de conserver cet acteur sous la coupe du chef d'Etat-major des armées.</p> <p>Milieu à part entière, le cyberespace se voit donc logiquement intégrer la posture permanente de sécurité (PPS). La PPS concernait la protection de notre territoire, de nos approches maritimes et aériennes mais aussi spatiales<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2013/04/29/Le-livre-blanc-sur-la-d%C3%A9fense-et-la-s%C3%A9curit%C3%A9-de-2013#pnote-36-1" id="rev-pnote-36-1">1</a>]</sup>. Le LBDSN inclut le cyberespace dans la protection du territoire et parle de "posture de cybersécurité". Nous sommes ici dans l'incantation et il faudra peut être définir plus précisément ce concept, quitte à créer au niveau national un niveau de cyber-menace comme ce qui est fait au sein des forces armées ou pour le plan Vigipirate.</p> <p>Le LBDSN veut instituer une nouvelle composante de la réserve opérationnelle dédiée à la cyberdéfense. Il insiste surtout sur la capacité à identifier l'origine des attaques et d'évaluer les capacités d'adversaires potentiels.</p> <p>Le LBDSN aborde également l'effort à fournir en terme de moyens humains "à la hauteur des efforts consentis par nos partenaires britannique et allemand". Ce vœu doit être rapproché du <a href="http://cyber-defense.fr/blog/index.php?post/2012/07/31/Le-rapport-Bockel">rapport Bockel sur la cyberdefense</a> qui affirmait: “Avec des effectifs qui devraient être de 230 personnes et un budget de l’ordre de 75 millions d’euros, les effectifs et les moyens de l’ANSSI sont encore très loin de ceux dont disposent les services similaires de l’Allemagne ou du Royaume- Uni, qui comptent entre 500 et 700 personnes.”</p> <p>Enfin le LBDSN insiste sur la nécessaire augmentation du volume des experts en informatique, et de la coopération avec nos partenaires, notamment le Royaume-Unis et Allemagne.</p> <h5>Des réponses aux <em>agressions informatiques majeures</em></h5> <p>Comme évoqué récemment dans la presse, le LBDSN précise que les activités d'importance vitale verront leur standard de sécurité informatique fixé par un dispositif législatif et réglementaire.</p> <p>Enfin, il est abordé une doctrine de réponse aux agressions informatiques majeures. Celle-ci repose sur deux manœuvres: celle de la prévention qui sera coordonnée sous l'autorité du premier ministre. Et celle de l'intervention qui se veut être une <strong>réponse globale</strong> et ajustée faisant appel à divers moyens diplomatiques, juridiques et policiers. En fonction des circonstances, les moyens de la défense seraient utilisés de façon graduée.</p> <h5>Un livre blanc de crise où la cyberdéfense voit son poids renforcé</h5> <p>Ainsi au milieu des réductions tout azimut, la cyberdéfense voit son importance affirmée. Il reste à voir en fin d'année si ces mots seront suivis d'effets budgétaires, lors de la loi de programmation militaire.</p> <div class="footnotes"><h4 class="footnotes-title">Note</h4> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2013/04/29/Le-livre-blanc-sur-la-d%C3%A9fense-et-la-s%C3%A9curit%C3%A9-de-2013#rev-pnote-36-1" id="pnote-36-1">1</a>] L'armée de l'air possède des capacités de détection et de suivi des objets spatiaux, notamment grâce au radar <a href="http://fr.wikipedia.org/wiki/Radar_GRAVES">GRAVES</a></p></div> http://cyber-defense.fr/blog/index.php?post/2013/04/29/Le-livre-blanc-sur-la-d%C3%A9fense-et-la-s%C3%A9curit%C3%A9-de-2013#comment-form http://cyber-defense.fr/blog/index.php?feed/atom/comments/36 Le marché des cyber-armes: un marché gris ? urn:md5:a7a1eb9a91f310f868a673733ca3d8d3 2013-04-10T08:03:00+02:00 2013-04-10T08:03:00+02:00 admin Economie cyber-guerrevupenzero days <p>Si le marché de la cyber défense est en plein boom, comme nous le soulignions dans un <a href="http://cyber-defense.fr/blog/index.php?post/2012/05/24/La-cyberdefense%2C-un-march%C3%A9-en-plein-boom">précédent article</a>, celui-ci présente une spécificité indéniable. En effet, s'il est possible de s'armer de manière conventionnelle par des circuits classiques et relativement publics, le marché de la cyber-défense rend indispensable le recours à une forme de marché obscur et confidentiel, que nous qualifierons, sans parler de marché noir, de marché gris. Parler de marché gris, c'est tempérer le terme "noir", puisque ce marché n'est pas illicite. Par ailleurs, le terme "gris" marque une forme d'absence de contrôle par le fabricant original.</p> <h5>Pourquoi avoir recours à ce marché gris&nbsp;?</h5> <p>La sphère cyber a ceci de spécifique qu'elle possède une portion dématérialisée, le logiciel, sur laquelle les attaques sont les plus aisées, et bien sûr les plus répandues. Dès lors, afin de mener une attaque il est le plus souvent nécessaire d'exploiter une vulnérabilité d'un système d'information. Ces vulnérabilités, aussi appelées "exploits", sont la ressource naturelle, <em>le nerf de la cyber-guerre</em>, serions-nous tentés d'écrire. Lorsque ces failles sont directement exploitables et inconnues du public (et donc de l'entité en charge de les résoudre, les "patcher" dans le jargon consacré), elles sont qualifiées de "zero days"<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2013/04/09/Le-march%C3%A9-des-cyber-armes%3A-un-march%C3%A9-gris#pnote-35-1" id="rev-pnote-35-1">1</a>]</sup>.</p> <p>Les "exploits" ne sont pas illicites. De nombreuses entreprises en font leur commerce. Un exploit peut se vendre jusqu'à 500.000$ s'il concerne un logiciel majeur (Internet Explorer de Microsoft par exemple). Aujourd’hui ce commerce se développe et se professionnalise: plus de la moitié des exploits sont vendus par des entreprises plutôt que par des hackers isolés<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2013/04/09/Le-march%C3%A9-des-cyber-armes%3A-un-march%C3%A9-gris#pnote-35-2" id="rev-pnote-35-2">2</a>]</sup> La France possède par exemple une entreprise dont c'est la spécialité, <a href="http://www.vupen.com/english/">Vupen</a> . Pour autant, une grande partie des transactions de ces "exploits" a lieu sur internet directement ou indirectement, notamment par le biais de certains forums. De par la nature du produit, l'origine de l'exploit, même vendu par une entreprise, n'est ainsi jamais garantie.</p> <p><img src="http://cyber-defense.fr/blog/public/.darkode_cap_m.jpg" alt="Forum Darkode.com" style="float:left; margin: 0 1em 1em 0;" title="Forum Darkode.com, avr. 2013" /></p> <h5>Profil d'un client</h5> <p>Avec des prix aussi élevés, le client type d'un exploit est rarement un cyber-criminel&nbsp;: il s'agit d'abord et surtout des services de renseignements disposant des fonds les plus importants. L'entrée sur le marché d'acteurs au poids financier important aurait multiplié par 5 le prix moyen d'un exploit depuis 2004<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2013/04/09/Le-march%C3%A9-des-cyber-armes%3A-un-march%C3%A9-gris#pnote-35-3" id="rev-pnote-35-3">3</a>]</sup>. Des critiques s'élèvent contre ce marché de cyber vulnérabilités, pour autant toute velléité de régulation est vouée à l'échec: par l'aspect international de ce marché, mais aussi à cause de la fine frontière entre simple recherche en cyber-sécurité et les applications offensives possibles.</p> <h5>La France, combien d'exploits?</h5> <p>Dans cette <a href="http://lecercle.lesechos.fr/entreprises-marches/high-tech-medias/internet/221164714/affaire-vupen-quand-competence-francaise-fai">tribune</a> des Échos, Eric Filiol, ancien officier français et spécialiste en cyber-sécurité, défend l'existence d'une compétence française dans le domaine. Il y écrit ainsi:</p> <blockquote><p>"Le maître mot de la guerre de demain ne sera pas&nbsp;: «&nbsp;la France, combien de divisions&nbsp;? » mais «&nbsp;la France combien de vulnérabilités peut-elle exploiter&nbsp;? ».</p></blockquote> <p>Il est satisfaisant de constater que la France possède certaines compétences dans le domaine.</p> <p>Cependant à l'heure actuelle le développement de ce marché gris pose plusieurs problèmes. En premier lieu il y a le problème moral qui est proche de celui des armes conventionnelles, l'aspect insidieux en plus: ces vulnérabilités sont susceptibles de nuire à tous; leur prolifération est incontrôlable. Ensuite, ce marché entraîne une surenchère, pour nos propres gouvernements, des crédits consacrés à l'achat d'exploits. Exploits, qui, de par la nature du marché peuvent d'ailleurs être vendus à plusieurs acheteurs différents sous couvert d'une prétendue exclusivité.</p> <p>Afin de résoudre ces problèmes il est nécessaire que la recherche de ces exploits se fasse au sein même des agences "cyber" des différents gouvernements. Pour autant, on sera toujours confronté à cette forme de <em>pouvoir égalisateur du cyber</em>: la découverte isolée d'exploits par n'importe quel amateur éclairé ne peut être empêchée. Le marché des cyber-armes est donc condamné entre noir et gris.</p> <div class="footnotes"><h4 class="footnotes-title">Notes</h4> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2013/04/09/Le-march%C3%A9-des-cyber-armes%3A-un-march%C3%A9-gris#rev-pnote-35-1" id="pnote-35-1">1</a>] Puis lorsqu'elles deviennent publiques, sont appelées successivement "one day", "two days" etc...</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2013/04/09/Le-march%C3%A9-des-cyber-armes%3A-un-march%C3%A9-gris#rev-pnote-35-2" id="pnote-35-2">2</a>] selon Roy Lindorf, chercheur à la l'université de la défense hollandaise, cité par <em>The Economist, March 30th 2013, The digital arms trade</em>.</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2013/04/09/Le-march%C3%A9-des-cyber-armes%3A-un-march%C3%A9-gris#rev-pnote-35-3" id="pnote-35-3">3</a>] ibid</p></div> http://cyber-defense.fr/blog/index.php?post/2013/04/09/Le-march%C3%A9-des-cyber-armes%3A-un-march%C3%A9-gris#comment-form http://cyber-defense.fr/blog/index.php?feed/atom/comments/35 2013, année de transition urn:md5:30e787ca1603c5c8fe2b4ca239b40b42 2013-01-18T07:08:00+01:00 2013-01-18T07:08:00+01:00 admin Défense en général 2013Chinecyber-guerreEtats-Unislivre blancMaliprospective et stratégieSyrie <p>2012 est déjà dans nos rétroviseurs, 2013 s'avance. Voici l'occasion pour nous de tirer les principaux enseignements de l'année passée, et de tenter de scruter l'horizon qui s'ouvre devant nous.</p> <h5>2012, l'indétermination.</h5> <p>2012 a révélé que le monde était plus complexe qu'une simple convergence des intérêts mondiaux sur fond de liberté (au sens large: liberté de l'homme, libéralisation des flux et de l'économie). Les conséquences des révolutions de jasmins sont encore floues. Le dynamisme économique en Chine et plus généralement dans les pays émergents s’essouffle. La situation en Europe -mais aussi aux États-Unis; sur fond de crise budgétaire, est confuse.</p> <p>Ainsi 2012 a apporté plus de questions que de réponses. Elle nous laisse cependant le sentiment que tout reste ouvert: la possibilité d'une reprise économique dans les pays occidentaux; le règlement pacifique des crises en Afrique sub-saharienne et au Moyen Orient.</p> <h5>Un recul de la gouvernance mondiale</h5> <p>2012 apporte selon nous un premier stigmate du monde de demain. D'abord nous notons un recul de la gouvernance mondiale. Aux Nations Unies mais aussi dans les domaines spécialisés comme l'internet, où le sommet de Dubaï a montré un clivage entre les pays. L’Union Européenne peine à voter un budget. Les grandes dynamiques d'intégration sont en perte de vitesses. En 2012,la problématique du droit des cyberconflit a été abordée dans le <a href="http://www.egeablog.net/dotclear/index.php?post/2012/12/11/Le-Manuel-de-Tallinn-%3A"> "Manuel de Tallinn"</a>, mais reste selon nous une tentative normative par l'Ontccident plus qu'un consensus général sur la question (qui aurait davantage sa place aux Nations Unies).</p> <p>Comme les crises récentes le démontre (Lybie, Mali, ...) l’État reste le pivot central des initiatives de sécurité.</p> <h5>Physionomie des opérations militaires</h5> <p>Dans ce contexte, les opérations militaires ne subiront pas de révolutions. Les guerres de type asymétrique, et contre-insurectionnelles resteront la norme. Nous sommes convaincus que la probabilité extrêmement faible d'une guerre de haute intensité devrait porter d'emblée les armées occidentales vers un renforcement de la projection de puissance au meilleur coût. En effet celles-ci devrait être adaptées aux crises probables, car, comme on a pu le constater ces dix dernières années, la gamme d'outils occidentale, trop tournée vers la haute intensité, est inadaptée à la cible principale à traiter de cette décennie: le pick-up. Pour remplir ce contrat, il faudrait acquérir des vecteurs aériens adaptés au support des opérations au sol de type A10 et renforcer la capacité en hélicoptère de combat et de manœuvre.</p> <p>La permanence devrait également être l'objet de toutes les intentions. En France, la capacité drone est indigente et il est urgent d'acquérir sur étagère un nombre de drones armés suffisants pour couvrir un théâtre d'opération.</p> <p><img src="http://cyber-defense.fr/blog/public/.firemen_wip_by_sunnyjingles91-d4jpwto_m.jpg" alt="Firemen Wip" style="display:block; margin:0 auto;" title="Firemen Wip, (c) chicaaaaa on deviantart" /></p> <h5>2013, poursuite d'une transition vers une paix globale et l'instabilité locale</h5> <p>2013 nous rappelle à l'ordre, car après des réflexions sur la maritimisation, l'OTAN, la cyber-défense, nous voilà repartis dans une opération africaine, qui n'est pas sans rappeler <a href="http://fr.wikipedia.org/wiki/Op%C3%A9ration_Tacaud">l'opération Tacaud</a> des années 70...</p> <p>A cet égard l'année à venir nous confirmera peut être une réalité esquissée par Pierre Hasner d'une "nuit où toutes les guerres et toutes les paix sont grises". Le monde s'enfoncerait alors durablement dans ce que Frédéric Gros décrivait comme des "états de violences". Les armées occidentales avec l'aide d'acteurs locaux deviendraient alors des pompiers du monde, chargés d'éteindre ici ou là des incendies. La guerre totale, le choc inhumain et rangé de deux forces militaires, une antiquité.</p> <p>Dès lors, la conflictualité entre les États se concentrerait dans la sphère cyber ou le soft-power, donnant raison à l’essai de Quiao Liang et Wang Xiangsin, <em>la guerre hors limite</em>. Nous ne pouvons écarter l'hypothèse selon laquelle dans un siècle, les historiens décriront notre siècle comme celui marquant la fin de la prépondérance de la chose militaire pour (re)distribuer les cartes de la puissance.</p> http://cyber-defense.fr/blog/index.php?post/2013/01/05/2013%2C-ann%C3%A9e-de-transition#comment-form http://cyber-defense.fr/blog/index.php?feed/atom/comments/34 La cyberguerre, un fantasme ? urn:md5:6a3e36e620d56fe76aa06a23ae468efc 2012-12-21T14:43:00+01:00 2012-12-23T17:30:45+01:00 admin Cyber guerre ANSSIBertrand Boyercyber commandcyber-guerreCyberstratégieDissuasionThe Economist <p><img src="http://cyber-defense.fr/blog/public/.the_economist_cyberwarfare_s.jpg" alt="CyberWarfare" style="float:left; margin: 0 1em 1em 0;" title="CyberWarfare, déc. 2012" />La cyberguerre fantasme ou réalité&nbsp;? A l'heure où la cyber-défense revient sur le devant de la scène, dans l’actualité mais également dans le futur livre blanc, la priorité entre offensive et défensive est débattue. Finalement, la cyber-offensive est-elle utile&nbsp;? La défensive ne devrait elle pas se réduire à de la simple <em>sécurité</em>&nbsp;?</p> <p>Ainsi le 20 novembre, l'Express révélait qu'une véritable <a href="http://lexpansion.lexpress.fr/high-tech/cyberguerre-comment-les-americains-ont-pirate-l-elysee_361225.html">cyberguerre</a> s'était jouée derrière le piratage dit "de l'Elysée".<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/12/16/Le-fantasme-de-la-cyberguerre#pnote-33-1" id="rev-pnote-33-1">1</a>]</sup>.</p> <h5>L'exemple américain</h5> <p>Dans son édition du 8 décembre, The Economist publie un article sur cette "cyberwarfare" sous-titré "Hype and fear", <a href="http://www.economist.com/news/international/21567886-america-leading-way-developing-doctrines-cyber-warfare-other-countries-may">disponible en ligne ici</a>. Présentant l'avance majeure dont dispose les États-Unis, celui-ci conclut que l'offensive est largement sur-évaluée.</p> <p>L'article rappelle qu'aux États-Unis, le spectre de cyberattaques ayant des effets dans le monde réel est largement évoqué. La notion de "Cyber Pearl Harbor", en vogue. Une politique volontaire est en place. Elle se serait traduite récemment selon l'hebdomadaire par la signature au mois d'Octobre par Obama d'une directive secrète pour des cyber-opérations. Il est clair qu'avec un budget de 3,4 milliards de dollars, le Cyber Command américain dispose de moyens importants (ce budget est quasiment celui de l'ensemble de la dissuasion nucléaire... en France).</p> <p>Il faut également noter que le patron du Cyber Command US (Général Keith Alexander) est également le patron de la NSA, contrairement à un pays comme la France où le cyber possède une partie militaire (via l'OG-cyber<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/12/16/Le-fantasme-de-la-cyberguerre#pnote-33-2" id="rev-pnote-33-2">2</a>]</sup>, sans budgets ni moyens importants) et une partie civile distincte (l'ANSSI, mieux dotée).</p> <h5>L'équilibre entre offensive et défensive en débat</h5> <p>A propos de l'équilibre entre défense et attaque, en bon militaire, le général Alexander estime que l'offensive est primordiale. Pour autant, The Economist affirme que les défenses américaines ne sont capables d'arrêter que 3 attaques sur 10; par ailleurs, le journal cite Martin Libicki de la Rand Corporation qui prétend que la cyber-offensive ne peut jouer qu'un rôle de soutien d'opérations classiques. <sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/12/16/Le-fantasme-de-la-cyberguerre#pnote-33-3" id="rev-pnote-33-3">3</a>]</sup>.</p> <p>Selon Jarno Limmel de Stonesoft, une entreprise de cyber-sécurtié, la cyber-défense doit s'appuyer sur 3 capacités clés:</p> <ul> <li>résilence contre une attaque majeure</li> <li>des capacités d'attributions afin d'interdire l'impunité</li> <li>des moyens de rétorsion pour dissuader une éventuelle attaque.</li> </ul> <p>Pour autant, The Economist estime que les luttes dans le cyberespace sont principalement d'ordre économique. En effet, la Chine et la Russie sont citées pour être les spécialistes de l'espionnage industriel <sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/12/16/Le-fantasme-de-la-cyberguerre#pnote-33-4" id="rev-pnote-33-4">4</a>]</sup>. Surtout, l’hebdomadaire souligne ironiquement qu'avant de penser à l’attaque, les pays occidentaux et les américains les premiers devraient colmater les brèches dans leur propre logiciels (98% des failles de sécurité viendraient de logiciels produits aux États-Unis).</p> <h4>Le retour de la dissuasion</h4> <p>Finalement, on revient sur le brouillard de guerre propre au cyber-espace. En définitive la dissuasion repose sur la crédibilité d'actions de représailles et sur la possibilité d'attribution. Au mois d’Octobre le secrétaire d’État à la défense américain affirmait "les potentiels agresseurs devraient avoir conscience que les États-Unis disposent de la capacité de les localiser et les tenir responsables d'actes affectant l'Amérique ou ses intérêts". Même si cette affirmation peut paraître optimiste, elle établit une voie possible pour la dissuasion: le rôle central de capacités d'attribution permettant des représailles, y compris <em>classiques</em>.</p> <h4>Pour penser la cyber-guerre, d'abord repenser la guerre</h4> <p>En définitive si la cyber-guerre apparaît pour certains comme un fantasme; c'est d'abord parce que l'imaginaire collectif n'a pas encore pris conscience des changements dans la conflictualité. La guerre telle qu'elle est encore pensée n'existe plus. Comme l'a bien exprimé Bertrand Boyer dans son ouvrage <em>Cyberstratégie, l'art de la guerre numérique</em><sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/12/16/Le-fantasme-de-la-cyberguerre#pnote-33-5" id="rev-pnote-33-5">5</a>]</sup>:</p> <blockquote><p>"il faut résolument aujourd'hui favoriser l'évolution de notre cadre de pensée, briser les codes qui régissent la stratégie et son rapport à la violence. Il nous faut concilier l'inconciliable, penser l'affrontement sans la guerre, la coopération sans la transparence, la paix comme un état transitoire."</p></blockquote> <p>Ainsi l'émergence de la cyberguerre n'est que le symptôme d'une recomposition des stratégies de puissance des États, et sans doute, de nouveaux acteurs.</p> <div class="footnotes"><h4>Notes</h4> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/12/16/Le-fantasme-de-la-cyberguerre#rev-pnote-33-1" id="pnote-33-1">1</a>] On peut pour étoffer le sujet lire <a href="http://www.lemagit.fr/technologie/securite-technologie/2012/11/26/cyberguerre-sortons-du-domaine-du-fantasme/">ce point de vue</a>, mais aussi le naturel démenti américain <a href="http://lexpansion.lexpress.fr/high-tech/cyberattaque-contre-l-elysee-la-defense-de-washington_361245.html">ici</a></p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/12/16/Le-fantasme-de-la-cyberguerre#rev-pnote-33-2" id="pnote-33-2">2</a>] Officier Général Cyberdéfense, appartenant à l’État-major des armée</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/12/16/Le-fantasme-de-la-cyberguerre#rev-pnote-33-3" id="pnote-33-3">3</a>] "Cyber-warfare can only be a support function" for other forms of war</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/12/16/Le-fantasme-de-la-cyberguerre#rev-pnote-33-4" id="pnote-33-4">4</a>] L'article cite cet exemple où des hacker d'une agences de renseignement étranger, auraient en 2009 dérobé 24.000 fichiers confidentiels de Lockeed Martin, qui auraient permis d'espionner les réunions abordant des aspects technologiques des capteurs du chasseur J-35 Joint Strike Fighter.</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/12/16/Le-fantasme-de-la-cyberguerre#rev-pnote-33-5" id="pnote-33-5">5</a>] Paru en mai 2012, Éditions Nuvis, ISBN 978-2-36367-013-7</p></div> http://cyber-defense.fr/blog/index.php?post/2012/12/16/Le-fantasme-de-la-cyberguerre#comment-form http://cyber-defense.fr/blog/index.php?feed/atom/comments/33 Introduction à la Cyberstratégie - Olivier Kempf urn:md5:745f7ba6eb88faf280958da4feac98b5 2012-12-03T07:01:00+01:00 2012-12-03T07:51:45+01:00 admin Cyber défense EGEAfiche de lectureglobal commonsOlivier Kempfstratégie <p><img src="http://cyber-defense.fr/blog/public/.introcyberstrat_s.jpg" alt="Introduction à la Cyberstratégie" style="float:left; margin: 0 1em 1em 0;" title="Introduction à la Cyberstratégie, nov. 2012" />Olivier Kempf est une des quelques personnalités du monde académique à publier régulièrement sur les aspects stratégiques du cyberespace. Après un ouvrage collectif "Stratégie dans le cyberespace", qui regroupait plusieurs textes autour d'un domaine théorique encore peu débroussaillé, il publie ce mois-ci un ouvrage intitulé "Introduction à la cyberstratégie" chez Economica.</p> <p>Ce livre a pour objectif d'exposer "les grands fondements de cette cyberstratégie". Il vient combler en effet un vide dans ce domaine. Mis à part Daniel Ventre, la littérature francophone est très pauvre sur le sujet. Avec le livre de Bertrand Boyer "Cyberstratégie, l'art de la guerre numérique"<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/11/18/Introduction-%C3%A0-la-Cyberstrat%C3%A9gie-Olivier-Kempf#pnote-30-1" id="rev-pnote-30-1">1</a>]</sup>, la pensée française semble prendre un nouveau souffle en 2012: celui de publications et de recherches approfondies.</p> <p>Le livre est bâti autour de neuf chapitres courts et très bien découpés, chacun se terminant par une conclusion partielle. Les arguments avancés sont étoffés par de nombreux exemples, et fait assez rare, l'auteur n'hésite pas à user de formules du type "Il me semble" ou "je pense" plutôt que d’asséner des vérités, laissant un espace pour le débat.</p> <p>L'introduction débute par une analyse sémantique du terme <em>cyber</em>. En replaçant d'emblée celui-ci dans l'action de gouverner, Olivier Kempf nous fait sentir le potentiel du concept qui va bien au delà de la fascination technologique qu'il peut véhiculer. Surtout, nous retenons l'idée que l'espace cyber redonne aux États une liberté et une marge d’action perdue dans un monde plus transparent, plus régulé.</p> <p>Les trois premiers chapitres présentent le cyberespace: ses différentes couches et leurs interactions, ses caractéristiques. L'approche par milieu, les espaces striées, ou la notion de <em>global commons</em><sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/11/18/Introduction-%C3%A0-la-Cyberstrat%C3%A9gie-Olivier-Kempf#pnote-30-2" id="rev-pnote-30-2">2</a>]</sup> peuvent apparaître assez théorique. Elles se veulent finalement fructueuses: en raisonnant par analogie on découvre de nouvelles propriétés qui nourrissent à leur tour la réflexion.</p> <p>Le chapitre 4 entre dans le vif du sujet: le cyberespace comme théâtre d'opération.</p> <blockquote><p>"A partir d'aujourd'hui, une guerre sera forcément une <strong>cyberguerre</strong>"</p></blockquote> <p>Ce chapitre introduit la notion de "sphères stratégiques" qui permet de saisir les interactions entre le milieu cyber et les autres milieux où la conflictualité peut s'exprimer. Le chapitre 5 est consacré au temps, et rappelle que l'instantanéité n'est pas l'unique modalité du cyberespace. Enfin le chapitre 6 est consacré aux acteurs.</p> <p>La deuxième partie du livre énumère alors les différentes stratégies possibles, évoque la dissuasion, puis enfin les postures stratégiques. A l'heure où certains affirment que la cyberguerre est un fantasme, O Kempf explique que la guerre dans le cyberespace constitue une mutation de la guerre, non létale, et renouvelle une conflictualité pétrifiée par la dissuasion.</p> <blockquote><p>" Ainsi la conflictualité n'est plus le fait des seuls acteurs étatiques, mais d'acteurs mondiaux qui interviennent, d'une façon ou d'une autre dans les relations internationales. En cela, le cyberespace permet une confrontation stratégique nouvelle et post-westphalienne"</p></blockquote> <p>Olivier Kempf fait le constat, que nous partageons, de l'impossibilité de transposer le concept de dissuasion dans le cyberespace. Il évoque cependant les acceptions que peut recouvrir le terme. Il aborde également le primat de la surprise, du stratagème et de l'offensive. Cette dernière doit être discrète et décisive: "L'offensive est haut de gamme". Sur ce point nous sommes moins convaincus: s'il y a des cyber-offensives d'un très haut niveau de sophistication (Stuxnet), nous sommes convaincus que la structure du cyberespace permet l'amplification d'une attaque plus simple. Même si celle-ci est très rare (cf. Bradley Manning), il y a certainement tout en bas de l’échelle une marge pour effectuer des cyber-cygne-noir (très petite occurrence, très grandes conséquences).</p> <p>La force de l'ouvrage de M. Kempf est de prendre de la hauteur sur les approches techno-centrées. Sans abus de termes techniques, en inscrivant les volets techniques du cyber espace dans une réflexion plus large, le livre explique de manière claire en quoi le cyber-espace, revêt un intérêt tout particulier dans les enjeux de puissance de demain.</p> <p>Parfois, les développements théoriques pourront apparaître artificiels à l'ingénieur et au spécialiste des technologies de l'information. Cependant, il y a dans cette démarche une partie du mérite de ce livre: réconcilier le stratège et le technicien.</p> <p>Ainsi cet ouvrage s’établit comme référence pour qui veut s'initier à la stratégie du cyberespace. Abordable, facile à lire, nous le conseillons sans réserve.</p> <p><em>Introduction à la cyberstratégie - Olivier Kempf - 176 pages - Economica (12 novembre 2012) ISBN: 2717865276</em></p> <div class="footnotes"><h4>Notes</h4> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/11/18/Introduction-%C3%A0-la-Cyberstrat%C3%A9gie-Olivier-Kempf#rev-pnote-30-1" id="pnote-30-1">1</a>] Ce livre sorti avant l'été, n'a pas fait l'objet d'une promotion particulièrement active de son auteur, officier... d'active. C'est regrettable car, comme le livre d'Olivier Kempf, l'ouvrage de Bertrand Boyer apporte du sang neuf dans l'espace du débat cyber.</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/11/18/Introduction-%C3%A0-la-Cyberstrat%C3%A9gie-Olivier-Kempf#rev-pnote-30-2" id="pnote-30-2">2</a>] Pour ce nouveau concept en mode, l’auteur propose la traduction: "espace d’intérêts communs"</p></div> http://cyber-defense.fr/blog/index.php?post/2012/11/18/Introduction-%C3%A0-la-Cyberstrat%C3%A9gie-Olivier-Kempf#comment-form http://cyber-defense.fr/blog/index.php?feed/atom/comments/30 Nos 5 propositions pour le livre blanc de la défense et la sécurité nationale urn:md5:c503e72c84adacc9a61e969997d49292 2012-10-16T08:09:00+02:00 2012-10-17T17:58:00+02:00 admin Défense en général cyber défenselivre blanclogiciels libreréserve <p>A l'heure où la commission s'active pour actualiser le livre blanc de 2008, nous constatons que pour la cyber-défense les résultats du précédent opus ne sont pas là. La France tarde à prendre la mesure de l'importance de ce domaine. La nouvelle fonction stratégique "connaissance et identification" n'a pas non plus été particulièrement développée. Aussi voulons nous formuler 5 propositions qui pourraient être incluses dans le prochain livre blanc de la défense et sécurité nationale. Celles ci ont été formulées en tenant compte d'un contexte budgétaire dégradé: elles ne sont donc pas une utopique liste reposant sur un gonflement du budget de la défense.</p> <h4>1. Généraliser l'utilisation du logiciel libre dans les systèmes d'information de l’État et les infrastructures critiques</h4> <p>Ce principe est le fondement d'un univers cyber sécurisé. Les logiciels propriétaires (i.e. dont le code n'est pas public) peuvent comporter des portes dérobées (back-door en anglais) et des vulnérabilités dont la correction dépend du bon vouloir de l’entreprise ayant fourni le logiciel. A l'opposé: le code libre est transparent, il bénéficie d'une communauté qui peut y participer et corriger les erreurs et vulnérabilités.</p> <p>En ce qui concerne la cryptographie, on peut traduire ce paradigme par le principe de Kerckhoffs; l’algorithme peut être connu de tous: sa sécurité repose sur la clé, et seulement sur la clé. Cette transparence doit également s'appliquer aux équipements d'infrastructures critiques (routeurs, contrôleurs industriels...) qui devront posséder des micrologiciels (firmware en anglais) libres<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/10/07/Nos-10-propositions-pour-le-livre-blanc-de-la-d%C3%A9fense-et-la-s%C3%A9curit%C3%A9#pnote-29-1" id="rev-pnote-29-1">1</a>]</sup>.</p> <p>Ce principe est par ailleurs vertueux: non seulement on augmente la sécurité mais en plus on diminue le coût, le logiciel libre étant gratuit. Il faut rendre obligatoire l'informatique libre dans tous les ministères.</p> <h4>2. Créer une cyber-garde républicaine.</h4> <p>La communauté de développeurs et d'experts informatiques française est dynamique. Nous possédons parmi les meilleurs programmeurs mondiaux, héritage d'un fort enracinement des mathématiques dans notre système scolaire. A la manière de ce qui se fait pour le logiciel libre: la contribution d'une communauté mettant ses compétences au profit d'un projet, il faut tenter la même expérience dans la cyber défense.</p> <p>Ainsi il serait possible d'intégrer dans une cyber-garde républicaine ou cyber-réserve les talents d’informaticiens, sélectionnés pour leur compétences dans des domaines variés. L'avantage c'est qu'il est inutile de fournir une arme ou un uniforme à ces personnes qui disposent déjà des instruments pour appuyer et renforcer l’État. Ceux-ci pourraient se voir confier une mission particulière (participer à un développement, traquer des bugs et des failles dans un logiciel, ou faire du reverse engineering....) ou conserveraient une certaine autonomie dans des domaines de recherches. Ces réservistes bénéficieraient d'équivalent-grades et de rémunérations similaires à ceux de la réserve opérationnelle, en leur versant en fonction de leurs contribution l'équivalent de 10, 20 ou 30 jours d'activité.</p> <h4>3. Créer un secrétariat d’État au cyberespace</h4> <p>Aujourd'hui, l'action de l'état dans le cyberespace est éparpillée entre plusieurs ministères, et coordonnée de manière plus ou moins heureuse pour ce qui concerne la sécurité par le SGDSN. L'importance du cyberespace aujourd'hui devrait justifier à elle seule la création d'un secrétariat d'état, qui décloisonne le développement et l'économie numérique de la sécurité. A cet égard, la sécurité du cyberespace est trop critique pour être seulement coordonnée par le secrétariat général de la défense et sécurité nationale.</p> <p>Comme aujourd'hui où la direction du budget de Bercy encadre l'action de chaque ministère en matière de budget, ce secrétariat serait chargé de toutes les questions en relation avec le cyberespace de chaque ministère. Cet opérateur commun devrait donc voir certains effectifs jusqu'alors détenus par chaque ministère lui être transférés (y compris des effectifs de la DIRISI<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/10/07/Nos-10-propositions-pour-le-livre-blanc-de-la-d%C3%A9fense-et-la-s%C3%A9curit%C3%A9#pnote-29-2" id="rev-pnote-29-2">2</a>]</sup>). Cette rationalisation au niveau inter ministériel des SIC apporterait cohérence et économie.</p> <p>Le directeur de la sécurité du secrétariat d'état au cyberespace devra être alternativement un militaire.</p> <h4>4. Renforcer au sein des forces armées l'organisation des systèmes d'informations</h4> <p>Au sein du ministère de la défense, il faut renforcer le rôle de la DIRISI en lui transférant un maximum de SIC que les armées gardent encore en propre en vertu de leur caractère spécialisé. La DIRISI doit se recentrer sur un cœur de métier qui serait l'opérationnel, tout en conservant un rôle d'interface avec le secrétariat d'état au cyberespace. Le CALID<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/10/07/Nos-10-propositions-pour-le-livre-blanc-de-la-d%C3%A9fense-et-la-s%C3%A9curit%C3%A9#pnote-29-3" id="rev-pnote-29-3">3</a>]</sup> resterait sous la coupe de la DIRISI; et de même un laboratoire de lutte informatique offensive serait créé. La montée en puissance de la DIRISI, qui devra rester sous les ordres du CEMA pour marquer son caractère opérationnel, pourrait conduire à moyen terme à la naissance d'une quatrième arme: celle du cyberespace.</p> <p>La DIRISI bénéficiera d'une double subordination au CEMA et au Secrétaire d’État au cyberespace qui sera en mesure de demander son concours pour des missions particulières. A la manière de ce qui se pratique dans l'organisation territoriale de la défense, pour laquelle les militaires apportent leur concours pour les opérations intérieures, la DIRISI apportera son expertise et ses moyens.</p> <h4>5. Créer un Événement autour de la cyber-défense et cyber-sécurité de dimension majeure</h4> <p>Il existe certains rassemblements privés tel la <em>Hack in Paris</em> par exemple. Ici le but serait de créer un rassemblement similaire qui serve les intérêts de la Nation. Comment&nbsp;? D'abord en permettant de recruter. En faisant découvrir les métiers des armées, ou encore la cyber-réserve évoquée plus haut. Ensuite en créant plusieurs concours dotés de prix importants. Les concours créent l’émulation et permettent de comparer le talents des informaticiens. Dans la sphère informatique, la compétition est une valeur fondamentale, comme les coding-parties<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/10/07/Nos-10-propositions-pour-le-livre-blanc-de-la-d%C3%A9fense-et-la-s%C3%A9curit%C3%A9#pnote-29-4" id="rev-pnote-29-4">4</a>]</sup> peuvent l'illustrer.</p> <p>Cette manifestation devrait proposer plusieurs "challenges" et plusieurs catégories: des lycéens jusqu'aux professionnels du secteur, en équipe et/ou en individuel. En dotant ce concours d’au moins 1 million d'euros de prix, on s'assurerait d'une participation de très haut niveau. Cette somme apparaît dérisoire en comparaison par exemple du budget de fonctionnement de la HADOPI (10 millions d'euros en 2012), qui se révèle d'une utilité plus que contestable <sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/10/07/Nos-10-propositions-pour-le-livre-blanc-de-la-d%C3%A9fense-et-la-s%C3%A9curit%C3%A9#pnote-29-5" id="rev-pnote-29-5">5</a>]</sup>.</p> <p>Certaines catégories pourraient être ouvertes à la compétition internationale, car dans ce domaine il s'agit aussi d'attirer des talents étrangers.</p> <p>Cette grande manifestation serait le moment privilégié pour le recrutement et la communication de l’État vers la communauté informatique et le grand public.</p> <h4>Conclusion</h4> <p>Le futur livre blanc est l'occasion pour le politique de marquer l'importance accordée au cyberespace. Dans un contexte budgétaire contraint, il y a pourtant tout lieu d'être optimiste. En effet, la défense du cyberespace repose d'abord sur l'homme et l'intelligence plus que sur l'équipement. Cette dépendance donne du sens à nos propositions.</p> <div class="footnotes"><h4>Notes</h4> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/10/07/Nos-10-propositions-pour-le-livre-blanc-de-la-d%C3%A9fense-et-la-s%C3%A9curit%C3%A9#rev-pnote-29-1" id="pnote-29-1">1</a>] De fait, une telle mesure rendrait caduque la polémique sur les routeurs chinois, puisque ceux-ci devraient posséder un code totalement transparent ...</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/10/07/Nos-10-propositions-pour-le-livre-blanc-de-la-d%C3%A9fense-et-la-s%C3%A9curit%C3%A9#rev-pnote-29-2" id="pnote-29-2">2</a>] La Direction Interarmées des Réseaux d'Infrastructure et des Systèmes d'Information est l'opérateur des SIC du ministère de la défense, voir notre article <a href="http://cyber-defense.fr/blog/index.php?post/2012/08/30/La-maitrise-des-SIC%2C-le-d%C3%A9fi-impossible">ici</a> </p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/10/07/Nos-10-propositions-pour-le-livre-blanc-de-la-d%C3%A9fense-et-la-s%C3%A9curit%C3%A9#rev-pnote-29-3" id="pnote-29-3">3</a>] Centre d'analyse de lutte informatique défensive, <a href="http://www.defense.gouv.fr/actualites/dossiers/sept-2011-cyberdefense-enjeu-du-21e-siecle/france/voir-les-articles/le-calid-l-expert-technique-en-securite-informatique-du-ministere">une présentation ici</a></p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/10/07/Nos-10-propositions-pour-le-livre-blanc-de-la-d%C3%A9fense-et-la-s%C3%A9curit%C3%A9#rev-pnote-29-4" id="pnote-29-4">4</a>] Rassemblement de programmeurs qui ont un temps donné pour créer une œuvre dans un domaine varié, voir ce <a href="http://scene.org">site </a> pour des exemples</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/10/07/Nos-10-propositions-pour-le-livre-blanc-de-la-d%C3%A9fense-et-la-s%C3%A9curit%C3%A9#rev-pnote-29-5" id="pnote-29-5">5</a>] comme l'illustre ses <a href="http://www.pcinpact.com/news/74364-hadopi-condamne-pour-seul-titre-flashe-150-fois.htm">résultats</a></p></div> http://cyber-defense.fr/blog/index.php?post/2012/10/07/Nos-10-propositions-pour-le-livre-blanc-de-la-d%C3%A9fense-et-la-s%C3%A9curit%C3%A9#comment-form http://cyber-defense.fr/blog/index.php?feed/atom/comments/29 Liars & Outliers - Bruce Schneier urn:md5:7aecbcaec984f4dbbcad4a82346af4a6 2012-09-07T21:23:00+02:00 2012-09-08T16:13:29+02:00 admin Défense en général Bruce Schneierconfiancecyber-sécuritéLiars and Outlierséconomie <p><img src="http://cyber-defense.fr/blog/public/.liarsandoutliers_s.jpg" alt="PageUnLiars&amp;Outliers" style="float:left; margin: 0 1em 1em 0;" title="PageUnLiars&amp;Outliers, sept. 2012" />Bruce Schneier est un expert américain reconnu de la sécurité technologique. Son <a href="http://www.schneier.com/">blog</a> est toujours une mine d’informations sur les problématiques de cyber-sécurité.</p> <p>Dans son dernier livre Liars &amp; Outliers, il étudie ce qui selon lui, est à la base de la sécurité dans toute organisation: la confiance.</p> <p>Dans la première des quatre parties que comporte son livre il passe en revue la confiance et la sécurité au travers d'une multitude d'approches différentes: économie, biologie informatique , etc. Ainsi il parle de <em>dilemme sociétal</em> lorsque l’intérêt de l'organisation est en compétition avec un autre intérêt.</p> <p>La seconde partie est consacrée au développement de sa théorie: la confiance est un élément essentiel de nos sociétés et la "pression sociétale" est le moyen par lequel nous y parvenons. Il y a selon lui quatre catégories de "pressions sociétales": la pression morale, la pression réputationnelle<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/09/07/Liars-Outliers-Bruce-Schneier#pnote-27-1" id="rev-pnote-27-1">1</a>]</sup>, la pression institutionnelle, et enfin, les systèmes de sécurité.</p> <p>La troisième partie se veut une mise en application et une mise en situation de la théorie précédente. Enfin la quatrième partie examine les cas où la "pression sociétale" échoue. Cette partie est également l'occasion de se pencher sur les nouvelles technologies et comment elles transforment la "pression sociétale".</p> <p>Cet ouvrage n'introduit pas d'idées révolutionnaires, mais cependant s'attache à formaliser et conceptualiser des notions intuitives. Aborder la cyber-sécurité et la cyber-défense sous l’angle de la confiance est une approche fructueuse. Dans l'univers dématérialisé qu'est le cyber-espace, la confiance est en effet à la base de tout. En particulier, la croissance du e-commerce repose totalement sur le sentiment de confiance du client. Une bonne lecture pour la rentrée.</p> <p><em>Liars &amp; Outliers - Bruce Schneier - 366p - Wiley press ISBN 978-1-118-14330-8.</em></p> <div class="footnotes"><h4>Note</h4> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/09/07/Liars-Outliers-Bruce-Schneier#rev-pnote-27-1" id="pnote-27-1">1</a>] cet anglicisme que l'on trouve sur le web, n'est pas encore dans les dictionnaires français, que le lecteur nous excuse pour son emploi, qui nous parait pourtant plus éclairant que "de réputation"</p></div> http://cyber-defense.fr/blog/index.php?post/2012/09/07/Liars-Outliers-Bruce-Schneier#comment-form http://cyber-defense.fr/blog/index.php?feed/atom/comments/27 La maîtrise des SIC au sein du ministère de la défense urn:md5:388b70573e8f8b45bd581e8b19c4c31e 2012-08-30T19:27:00+02:00 2012-08-31T12:33:20+02:00 admin Défense en général CALIDcyberdefensecyberespaceDIRISIexternalisationMINDEF <p><img src="http://cyber-defense.fr/blog/public/.dirisi_t.jpg" alt="dirisi.jpg" style="float:left; margin: 0 1em 1em 0;" title="dirisi.jpg, août 2012" />A l'heure où deux rapports soulignent la difficulté du ministère de la défense français à maîtriser ses systèmes d'information et de communication<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/08/30/La-maitrise-des-SIC%2C-le-d%C3%A9fi-impossible#pnote-26-1" id="rev-pnote-26-1">1</a>]</sup>, il n'est pas inutile d'examiner l'organisation actuelle des armées françaises en terme de système d'information et de communication (SIC). Et de réfléchir aux futures évolutions.</p> <div class="footnotes"><h4>Note</h4> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/08/30/La-maitrise-des-SIC%2C-le-d%C3%A9fi-impossible#rev-pnote-26-1" id="pnote-26-1">1</a>] Rapport du <a href="http://www.senat.fr/rap/r11-660/r11-660.html">Bilan de la réforme des bases de défense par le sénat</a> et celui de la <a href="http://www.ccomptes.fr/Presse/Communiques-de-presse/Le-bilan-a-mi-parcours-de-la-loi-de-programmation-militaire">cours des comptes</a> </p></div> <p>Le général Bazin, commandant la Direction interarmées des systèmes d'information (DIRISI), affirme: "Dans le cadre de nos réformes, la moitié des gains est réalisée par nos choix de réorganisation et l’autre moitié par les SIC qui soutiennent ces évolutions profondes des métiers". Cette affirmation étonnante nous porte à nous intéresser à cet acteur central des SIC du ministère: la DIRISI.</p> <h5>La DIRISI, nouvel acteur de premier plan</h5> <p>La DIRISI est l'opérateur de services informatiques et de télécommunications de la Défense, elle conçoit, développe, met en œuvre et protège (au quotidien comme pour les opérations extérieures) le système d’information du ministère. Cette direction est un prestataire au service des 3 armées, mais aussi des autres entités du ministère de la défense et à moyen terme, de la Direction Général pour l'Armement (DGA). Ses responsabilités sont donc importantes et vont de la couverture réseaux (Internet, téléphonique, ...), à la sécurité des systèmes d’information, en passant par la gestion des fréquences ou encore le soutien des réseaux des forces nucléaires. Depuis quelques mois, la DIRISI regroupe donc les anciens soutiens SIC de chaque armées dans une même direction, appelée à soutenir l'ensemble du ministère.</p> <p><img src="http://cyber-defense.fr/blog/public/organigrammeMINDEF.jpg" alt="organigrammeMINDEF.jpg" style="display:block; margin:0 auto;" title="organigrammeMINDEF.jpg, août 2012" /> Organisation du MINDEF simplifiée (credit: état major des armées)</p> <p>Pour l'heure la DIRISI reste subordonnée à l’État Major des Armées. A moyen terme cependant il apparaît qu'elle devrait logiquement rejoindre le SGA, puisqu'elle est amenée à intervenir au profit de tous les acteurs du ministère, DGA comprise.</p> <h5>Une position étonnante vis à vis de la cyber défense</h5> <p>Si la DIRISI est au centre des réseaux du ministère de la défense, il est étonnant de constater qu'elle est peu impliquée dans la cyber-défense. En effet, alors qu'elle est amenée à chapeauter l'ensemble des réseaux du ministère, de nombreux SIC et organismes ne lui sont pas directement rattachés. La reforme ayant laissé à chaque armées et directions la maîtrise de leur SIC propre (notamment pour tout ce qui concerne le renseignement, mais aussi des SIC spécifiques aux armées). Elle n'a donc pas une compétence tout à fait globale.</p> <p>D'un point de vue organisationnel à moyen terme, le rattachement du Centre d’analyse en lutte informatique défensive, le CALID à l'ANSSI n'améliorera pas cette situation. Le lien entre l'officier général de cyber-défense (OG-cyber) et la DIRISI est flou.</p> <p>Faut-il s'orienter vers un secrétariat d'état au cyberespace qui engloberait une DIRISI élargie à l'ensemble des ministères et une super agence de cyber-défense&nbsp;? Ce mouvement est certainement inéluctable, vu le caractère global de ce domaine et les nécessaires rationalisations au sein des ministères (comme par exemple le déploiement de <a href="http://fr.wikipedia.org/wiki/Chorus_%28logiciel%29">Chorus</a> socle unique de comptabilité commun à tous les ministères).</p> <h5>Les défis</h5> <p>Le principal défi pour l'organisation des SIC au sein de la défense sera d’abord la cohérence. Cohérence parce que les SIC sont restés propres à chaque armées et services. Cette multiplication des SIC a favorisé la création d'environnements hétérogènes qui vont à l'encontre du travail en interarmées et en interalliés (la récente opération en Libye a démontré l'insuffisance de ces réseaux pour travailler avec nos partenaires de l'OTAN). Les unifier est évidement un travail titanesque, et réclame la mise en place de véritables "équipes-projets" de long terme.</p> <p>Pour faire face aux enjeux de la maîtrise des SIC, le ministère devra également considérer ou reconsidérer les recours aux externalisations. Le réseau IP (Internet Protocol) de l'armée de l'air va être assuré par des entreprises privées (Inéo et Alcatel Lucent). Le futur regroupement des États-majors à Balard représente aussi une opération d'externalisation des infrastructures comportant des risques pour la sécurité.</p> <p>Enfin, le défi est également humain. D'un coté comment attirer des spécialistes de haut niveau dans cet organisme, et de l'autre, maintenir un esprit de corps au moment où les rangs de la DIRISI comptent des militaires de toutes les armées qui seront donc à moyen terme déracinés de leur milieu d'origine&nbsp;? Peut être est-il temps de fédérer ces 10.000 hommes en leur confiant la maîtrise d'un milieu spécifique comme les autre armées et services: celui du cyber-espace.</p> http://cyber-defense.fr/blog/index.php?post/2012/08/30/La-maitrise-des-SIC%2C-le-d%C3%A9fi-impossible#comment-form http://cyber-defense.fr/blog/index.php?feed/atom/comments/26 Le rapport Bockel urn:md5:4eb89de66b4278b07d0bb8fb8e30c15d 2012-07-31T14:27:00+02:00 2012-07-31T20:57:33+02:00 admin Cyber défense ANSSIEuropelivre blancOTANsénat <p>Le rapport "Bockel" sur la cyber défense va bientôt être digéré par la blogosphère française, aussi est-il temps pour nous d'aborder ce rapport public du Sénat, qui a fait couler beaucoup d'encre.</p> <h4>Le rapport</h4> <p>En 120 pages, le rapport Bockel tente d’offrir un panorama de la sécurité dans le cyberespace et de faire des propositions. Une première partie brosse les menaces. Virus, Anonymous, cybercriminalité: cela part tout azimut, en reprenant les faits qui ont fait la une des journaux: piratage de Bercy ou d'Areva. La Chine en prend pour son grade; pour autant, le rapport note: "La Chine, qui est le pays qui compte le plus d’internautes au monde, figurerait ainsi à la première place des pays victimes d’attaques informatiques".</p> <p>Le rapport décrit ensuite comment nos partenaires (USA, UK, Allemagne) organisent leur cyber-défense. Pour le rapporteur la cyber-défense pourrait ainsi constituer l’un des volets de la relance de la coopération franco-allemande. Il faut bien l'avouer, celle-ci est en panne, surtout depuis le traité de Lancaster House qui a replacé les anglais comme partenaires privilégiés de notre coopération de défense.</p> <p>Le rapport évoque aussi les possibilité de coopération internationale autour de la cyber défense et les projet de gouvernance d'Internet. En ce qui concerne l'OTAN le rapport estime qu'en dépit de quelques effort, l'alliance n'est pas suffisamment préparée., et soulève notamment la question de l'article 5 autour d'une cyber-agression<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/31/Le-rapport-Bockel#pnote-25-1" id="rev-pnote-25-1">1</a>]</sup>. Enfin la France est absent du centre d'excellence de cyber-défense de l'OTAN. L’Union européenne dispose d’un instrument spécialisé à travers l’Agence européenne chargée de la sécurité des réseaux et de l’information, l’ENISA. Cependant selon un groupe d’évaluation externe, noter le rapport: les activités de l’ENISA paraissaient «&nbsp;insuffisantes pour atteindre le niveau élevé d’impact et de valeur ajouté espéré ».</p> <p>Dans ce panorama international marqué par des coopérations insuffisantes, les capacités françaises sont lacunaires. Ainsi excepté le ministère de la défense, les autres ministères ne sont pas bien préparés aux cyber-menaces. Les entreprises et les opérateurs d’importance vitale demeurent également encore insuffisamment sensibilisés.</p> <h4>Les propositions</h4> <p>Le rapport fait 50 propositions concrètes que nous n'évoquerons pas intégralement. Les grandes lignes de celles -ci sont:</p> <ol> <li>Renforcer les effectifs et les prérogatives de l’ANSSI afin de les porter à la hauteur de ceux dont disposent nos principaux partenaires européens;</li> <li>Donner plus de force à la protection et à la défense des systèmes d’information au sein de chaque ministère;</li> <li>Une doctrine publique sur les capacités «&nbsp;offensives »;</li> <li>Développer le partenariat avec le secteur économique;</li> <li>Assurer la protection des systèmes opérateurs d’importance vitale;</li> <li>Encourager la formation, soutenir la recherche et accentuer la sensibilisation;</li> <li>Encourager la sécurité, la confiance et la résilience à l’échelle européenne;</li> <li>Renforcer les capacités de cyberdéfense des Etats membres et des institutions européennes;</li> <li>Un enjeu majeur&nbsp;: Pour une interdiction totale sur le territoire européen des «&nbsp;routeurs de cœur de réseaux&nbsp;» et autres équipements informatiques sensibles d’origine chinoise.</li> </ol> <h4>Notre avis</h4> <p>Globalement, ce rapport présente le mérite de porter un sujet d'importance sur la place du débat public. Bien documenté (notamment sur l’État des organisations en France et à l'étranger), intéressant à lire, il offre un panorama précis de l'univers de la cyber-défense.</p> <p>Il verse cependant parfois dans la vulgarisation sensationnelle comme l'illustre cet extrait: "la découverte récente du virus FLAME, vingt fois plus puissant". Qu'est ce que la puissance d'un virus&nbsp;? Comment la mesure t-on&nbsp;? Le public visé: des "non-experts", ne dispense pas de tenir des propos mesurés.</p> <p>De même le rapport aurait pu être le point de départ de concepts qui n'ont pas encore été parfaitement figés:</p> <p>"Aux yeux de votre rapporteur, la «&nbsp;cyberdéfense&nbsp;» est une notion complémentaire de la «&nbsp;cybersécurité », qui englobe la protection des systèmes d’information, la lutte contre la cybercriminalité et la cyberdéfense."</p> <p>A ce sujet voir <a href="http://cyber-defense.fr/blog/index.php?post/2012/07/23/Cyber-d%C3%A9fense-et-cyber-s%C3%A9curit%C3%A9">notre billet</a> sur ces deux notions. On reste dans le droite ligne du livre blanc...</p> <p>Enfin la proposition d'interdire les routeurs chinois est saugrenue: <a href="http://www.lepoint.fr/chroniqueurs-du-point/guerric-poncet/cyberdefense-les-geants-chinois-repliquent-au-rapport-bockel-30-07-2012-1491061_506.php">comme le soulignent les équipementiers chinois</a>, les équipementiers européens contrôlent 40 % du marché chinois, alors que le matériel chinois ne représente que 1,5 % du marché européen. "Si l'on suit la logique du sénateur Bockel, c'est plutôt au gouvernement chinois d'avoir peur." déclare ainsi Lin Cheng de l'entreprise ZTE.</p> <p>Il serait en effet plus efficace de s'assurer que l'administration de ces équipements puissent être contrôlée par l’État. De plus les micro-logiciels de ces équipements devraient être ouverts et libres pour permettre de dissiper tout doute. Et on en vient, à mon sens à notre plus grande critique du rapport. Il manque à notre sens dans ce rapport un réel plaidoyer pour les logiciels libres/ouverts, qui permettent à n'en pas douter une meilleure sécurité et transparence de l'univers cyber.</p> <p>C'est un paradoxe qu'au moment de la sortie du rapport, les députés qui avaient adopté un système d'exploitation libre puissent de nouveau choisir le système d'exploitation Windows de Microsoft, comme relaté <a href="http://www.pcinpact.com/news/71556-ubuntu-windows-assemblee-nationale-deputes.htm">ici</a>.</p> <h4>Les avis de la blogosphère</h4> <p>Sur <a href="http://www.zdnet.fr/blogs/cybervigilance/cyber-defense-un-mot-sur-le-rapport-bockel-39774680.htm">Zdnet</a>, Pierre Caron pense que le rapport va globalement dans le bon sens, mais désapprouve la proposition d'embargo sur les équipements de télécommunications chinois.</p> <p>Le blog <a href="http://news0ft.blogspot.fr/2012/07/puisquil-faut-bien-en-parler.html">news0ft</a> fait lui, une critique acerbe: "symptomatique de l’échec de la pensée militaire appliquée à la SSI". En prenant par exemple la possibilité qui devrait être laissée exclusivement à l’État de mener du <em>reverse engineering</em><sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/31/Le-rapport-Bockel#pnote-25-2" id="rev-pnote-25-2">2</a>]</sup>. Il critique ensuite le subventionnement de projets voués à l'échec. Nous avions cité dans un précédent <a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques">billet</a> la volonté de créer un cloud sécurisé européen, et c'est à ce <a href="http://www.zdnet.fr/actualites/cloud-andromede-un-projet-sans-avenir-qui-deshabille-les-acteurs-en-place-39773998.htm">dossier</a> que news0ft fait allusion.</p> <p>Stéphane Bortzmeyer, ingénieur à l’Afnic (agence en charge de l’attribution des noms de domaine en .fr) critique (entre autre) les menaces évoquées par le rapport, qui ne représentent qu'une petite partie des enjeux de la cyberdéfense: "les menaces les plus sérieuses aujourd'hui sont celles qui pèsent contre les citoyens. Ils sont menacés à la fois par les États (...) et par les entreprises privées (...). Aujourd'hui, le gros problème en sécurité informatique, c'est de protéger les citoyens contre ces puissances". Enfin selon lui, malgré des propositions dirigées vers les utilisateurs, le rapporteur se trompe de démarche: "Tant qu'on se contente d'incantations («&nbsp;il faudrait que les utilisateurs fassent plus attention »), on ne risque pas d'améliorer la sécurité." Son <a href="http://www.bortzmeyer.org/rapport-bockel.html">long billet</a> mérite une lecture.</p> <div class="footnotes"><h4>Notes</h4> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/31/Le-rapport-Bockel#rev-pnote-25-1" id="pnote-25-1">1</a>] l’article 5, sur la solidarité entre ses membres en cas d’agression est le point primordial du Traité de l’Atlantique Nord</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/31/Le-rapport-Bockel#rev-pnote-25-2" id="pnote-25-2">2</a>] pour approfondir le débat, un billet <a href="http://alliancegeostrategique.org/2012/05/16/la-cyberdefense-francaise-doit-elle-etre-reservee-aux-seuls-militaires/">sur le rôle des militaires et des civils dans la cyber défense</a></p></div> http://cyber-defense.fr/blog/index.php?post/2012/07/31/Le-rapport-Bockel#comment-form http://cyber-defense.fr/blog/index.php?feed/atom/comments/25 Les capacités industrielles critiques urn:md5:4ede75fee69bec3a308634f15534c7f8 2012-07-28T13:15:00+02:00 2012-07-31T20:59:52+02:00 admin Défense en général cloudcyber défenseDGAindustrie de défenselivre blancprospective et stratégieéconomie <p>Du fait du cycle électif, le Sénat a bénéficié cette année de davantage de temps et de recul pour élaborer ses réflexions autour de notre politique de défense. Le mois de juillet a vu plusieurs rapports d'information parlementaires dont le rapport dit "Bockel" sur la cyber-défense. Un autre rapport, passé plus inaperçu, mais également intéressant (surtout à la veille d'une nouvelle loi de programmation militaire) porte sur les <a href="http://www.senat.fr/notice-rapport/2011/r11-634-notice.html">capacités industrielles souveraines - capacités industrielles militaires critiques</a>.</p> <p>On se souvient que dans le livre blanc sur la défense et la sécurité on pouvait lire qu'au rang des "priorités technologiques et industrielles découlant des objectifs stratégiques de la sécurité nationale à l’horizon 2025" figurait:</p> <blockquote><p><strong>Secteur de la sécurité des systèmes d’information</strong> Le développement des menaces sur les systèmes d’information et les réseaux implique de disposer de capacités industrielles nationales solides permettant de développer une offre de produits de sécurité et de cryptologie totalement maîtrisés au niveau national. Ces capacités sont aujourd’hui insuffisantes et dispersées. La France établira une stratégie industrielle, permettant le renforcement de capacités nationales de conception et de réalisation dans le domaine de la sécurité des systèmes d’information.</p></blockquote> <p>La parution de ce rapport est donc l’occasion de s’interroger sur les capacités dont dispose la France pour faire face au défi d'un domaine à la très haute technicité, et donc à de fortes exigences en terme de stratégie industrielle et de capacité de recherche et développement.</p> <h4>Un problème sémantique et stratégique</h4> <p>Ainsi le rapport souligne qu'il est difficile de définir ce qu'est une capacité industrielle souveraine. Ainsi après avoir débattu des différentes acceptions du terme "capacité industrielle souveraine", le rapport conclue que le terme plus adapté est "capacité industrielle militaire critique".</p> <p>De fait il faut pour pouvoir examiner ces fameuses capacités, être capable de mener une analyse stratégique, qui dépend alors forcément du contexte et du moment à laquelle on la réalise<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#pnote-24-1" id="rev-pnote-24-1">1</a>]</sup>. Le but final est de garantir, autonomie d’appréciation, de décision et d'action.</p> <p><img src="http://cyber-defense.fr/blog/public/cycleCIMC.png" alt="cycleCIMC.png" style="display:block; margin:0 auto;" title="cycleCIMC.png, juil. 2012" /></p> <h4>L'industrie dicte la stratégie, le livre blanc de 2008 reste évasif.</h4> <p>Le rapport souligne que ce processus idéal ne se réalise pas: "En France, la priorité va, depuis longtemps, à la politique industrielle sur les besoins opérationnel".</p> <p>Le livre blanc de son côté est resté flou: il affiche d'abord une expression peu claire des ambitions de défense (et des objectifs ultimes trop ambitieux), il est marqué ensuite par l’absence de lien évident entre les différents éléments de l’analyse stratégique et le format d’armée. Enfin, "l’incapacité ou le refus d’élaborer une stratégie d’acquisition et de la rendre publique – comme le souhaitait le Livre blanc - a permis, tout au long de la période 2007-2012, de faire prévaloir les objectifs de stratégie industrielle sur les besoins opérationnels."</p> <h4>Le nerf de l'industrie: le financement</h4> <p>Le financement des industries critique de défense trouve actuellement plusieurs sources. Il y a bien sûr et d'abord les crédits budgétaires du programme 144 de la mission défense, (mais également d'autres agrégats provenant du 146 "dissuasion" et 191 "recherche duale"). Il faut citer aussi le comité interministériel de restructuration industrielle<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#pnote-24-2" id="rev-pnote-24-2">2</a>]</sup> mais surtout le plus opaque Fonds Stratégique d’Investissement, doté aujourd'hui de 20 milliard d'euros. Malheureusement, le FSI n’intervient quasiment pas dans l’investissement d’entreprises de défense.</p> <h4>Les moyens de protection des CIMC</h4> <p>La premières mesure de protection des CIMC est le fait de permettre à l’État de choisir des producteurs nationaux, sans avoir recours à une mise en concurrence avec d'autres industriels étrangers offrant des produits meilleurs ou moins chers. Cette possibilité, est encadrée depuis 2011 par une directive européenne<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#pnote-24-3" id="rev-pnote-24-3">3</a>]</sup></p> <p>Ensuite vient la possibilité d'exporter facilement les productions nationales, auparavant très encadrée par le régime dit des CIEEMG<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#pnote-24-4" id="rev-pnote-24-4">4</a>]</sup> . Celui ci s'est assoupli avec une directive sur les transferts intracommunautaires d’équipements de défense<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#pnote-24-5" id="rev-pnote-24-5">5</a>]</sup>.</p> <p>Par ailleurs, la loi soumet à autorisation préalable du ministre chargé de l’économie les investissements étrangers en France qui, même à titre occasionnel, participent à l’exercice de l’autorité publique. Onze secteurs d’activité sont concernés par le décret dont la cryptologie, l’interception des correspondances, systèmes d’information.</p> <p>Enfin, en plus du dispositif de sécurité des activités d’importance vitale, un vaste arsenal législatif<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#pnote-24-6" id="rev-pnote-24-6">6</a>]</sup> (dont les lois sur le secret défense) permet une protection des CIMC.</p> <h4>Les conclusions du rapport</h4> <p>Le rapport pose d'abord trois débats:</p> <ol> <li>Le rôle prééminent donné à la DGA ne contribue-t-il pas à surpondérer la stratégie industrielle&nbsp;?</li> <li>L’absence de stratégie d’acquisition ne contribue-t-elle pas à sous pondérer les besoins opérationnels des armées&nbsp;?</li> <li>La nécessité d’arbitrages entre les besoins opérationnels et les préoccupations industrielles</li> </ol> <p>Il fait ensuite quelques recommandation:</p> <ol> <li>L’Etat gagnerait à simplifier ses outils d’analyse stratégique et à rendre sa démarche plus libre, plus cohérente et plus transparente.</li> <li>L’Etat doit déduire les CIMC de son analyse stratégique et non l’inverse</li> <li>L’Etat doit poursuivre ses efforts pour la sécurisation des approvisionnements en matériaux critiques</li> <li>L’action sur l’offre&nbsp;: ne pas renoncer à faire baisser les coûts des équipements militaires<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#pnote-24-7" id="rev-pnote-24-7">7</a>]</sup></li> <li>L’action sur la demande – promouvoir la défense de l’Europe</li> </ol> <h4>Quelles leçons pour la cyber-défense?</h4> <p>La cyber défense et ses technologies appartiennent largement aux technologies militaires critiques et sont plusieurs fois citées explicitement. En particulier, le rapport demande la création d'un cloud européen. En effet tous les systèmes de stockage en ligne sont aujourd'hui aux mains des américains. Il y a donc un problème de dépendance totale du secteur aux État-Unis (comme pour le GPS).</p> <blockquote><p>Ces craintes ont décidé la France, en 2009, comme la Grande-Bretagne ou l’Allemagne, à bâtir un cloud souverain. (...) le couple Thalès-Orange a été agréé pour donner naissance au cloud souverain français&nbsp;: Andromède, pour un montant de 350 millions d’euros. Ce cloud souverain sera destiné aux administrations et aux entreprises afin de stocker des informations sensibles telles que des données personnelles administratives, des renseignements liés à l’e-santé ou encore des informations économiques.</p></blockquote> <h4>Un rapport courageux, pour quel effet&nbsp;?</h4> <p>Le rapport est, à notre sens, particulièrement pertinent. Opacité des intervenants et décideurs, rôle de la DGA, remise en cause de doctrines d’emploi trop tirées par la technologie au détriment du nombre, autant de questions taboues qui sont abordées par le rapport. L'audition du général Desportes, et la reprise de ses arguments est à cet égard, révélateur d'une excellente ouverture d'esprit.</p> <p>Puisque le but affiché est de servir de base aux travaux conduisant au nouveau livre blanc de la défense, alors il faut souhaiter que la démarche préconisée par le rapport soit retenue. Pour autant, nous sommes pessimiste sur ce mode d'action. Dans un contexte budgétaire dégradé et avec un secteur de la défense qui n'est pas au rang des premières priorités des électeurs, le risque est de voir émerger la même langue de bois que précédemment.</p> <p>Car finalement, si l'on accepte de partir du contexte actuel pour fixer une stratégie de défense, alors il faudrait accepter une diminution des ambitions françaises. Les politiques auront-ils le courage de faire cet amer constat&nbsp;? Rien n'est moins sûr.</p> <div class="footnotes"><h4>Notes</h4> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#rev-pnote-24-1" id="pnote-24-1">1</a>] les anglais, explique le rapport, jugent par exemple acceptable de ne pas maîtriser tous les aspects des technologies nucléaires, en se reposant sur leur stratégie d'alliance avec les USA</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#rev-pnote-24-2" id="pnote-24-2">2</a>] défini dans le rapport comme un organisme interministériel créé au début des années 1980 pour faire face aux restructurations industrielles (...) C’est encore aujourd’hui une structure de soutien et d’intervention gouvernementale au bénéfice des grandes entreprises (plus de quatre cent salariés) en difficulté.</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#rev-pnote-24-3" id="pnote-24-3">3</a>] directive 2009/81/CE, du 13 juillet 2009 sur les marchés publics de défense et de sécurité (MPDS). adoptée, selon le rapport, en grande partie à l’initiative de la France afin de lui ouvrir les marchés de défense de ses homologues européens.</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#rev-pnote-24-4" id="pnote-24-4">4</a>] commission interministérielle pour l'étude des exportations de matériels de guerre, des système de contrôle d'internet vendu par la France à des dictatures y échappe pourtant, lire <a href="http://cyber-defense.fr/blog/index.php?post/2012/02/29/DPI%2C-arme-de-guerre-et-nouvelle-g%C3%A9opolitique-des-tubes">[notre article sur les DPI</a>|/blog/index.php?post/2012/02/29/DPI%2C-arme-de-guerre-et-nouvelle-g%C3%A9opolitique-des-tubes]</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#rev-pnote-24-5" id="pnote-24-5">5</a>] directive 2009/43/CE du 6 mai 2009</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#rev-pnote-24-6" id="pnote-24-6">6</a>] Indépendamment de cette réglementation, l’Etat peut toujours prévoir, de façon statutaire et spécifique à chaque société, des mesures lui permettant d’avoir une majorité absolue de blocage (golden share).</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#rev-pnote-24-7" id="pnote-24-7">7</a>] on évoquera à ce propos, des critiques sur le favoritisme dont aurait bénéficié le groupe Dassault sous l'action du précédent gouvernement. Selon le rapport la construction d'un monopole national n'est pas à favoriser car dès lors, l'Etat est contraint d'acheter à celui à n'importe quel prix.</p></div> http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#comment-form http://cyber-defense.fr/blog/index.php?feed/atom/comments/24 Cyber-défense et cyber-sécurité urn:md5:2662fd80adf6f99d9c3299d1eeedd180 2012-07-23T21:00:00+02:00 2012-07-23T21:33:40+02:00 admin Cyber défense cyber contrôleEGEA <p>Le blog EGEA publie un <a href="http://www.egeablog.net/dotclear/index.php?post/2012/07/13/D%C3%A9fense-ou-s%C3%A9curit%C3%A9-%28cyber%29-%282%29">article</a> pour explorer les différences entre cyber défense et cyber sécurité <sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/23/Cyber-d%C3%A9fense-et-cyber-s%C3%A9curit%C3%A9#pnote-23-1" id="rev-pnote-23-1">1</a>]</sup>. Pour autant, si l'angle d'étude de M. Kempf est intéressant (il décortique les notions sous le prisme de l'ordre public, l'économie, et la technologie). Il ne permet peut être pas selon nous de bien expliquer les nuances entre ces termes.</p> <p>Dans celui-ci Olivier Kempf écrit:" La cyber-sécurité se comprend alors comme la lutte contre la cybercriminalité".</p> <p>Cette affirmation laisserait penser que la sécurité renvoie toujours à une forme de "police".</p> <p>D'abord si l'on retient la classification des cyber-menaces selon les trois types suivants:</p> <ol> <li>criminels (leur but=argent, y compris l'espionnage industriel);</li> <li>"hacktivists" (but=partager/imposer une opinion, des idées) et enfin:</li> <li>états (but=contrôle au sens large ce qui inclue coercition)</li> </ol> <p>alors l'affirmation de M. Kempf parait incomplète. Ensuite, l'assertion selon laquelle:</p> <blockquote><p>la sécurité est un état dont la défense est le moyen</p></blockquote> <p>nous semble plus fidèle à la compréhension des choses<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/23/Cyber-d%C3%A9fense-et-cyber-s%C3%A9curit%C3%A9#pnote-23-2" id="rev-pnote-23-2">2</a>]</sup>. Depuis la publication du livre blanc, la distinction entre défense (armées) et sécurité (qui relève davantage de la police, la sécurité civile, les pompiers...) a déjà été critiquée<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/23/Cyber-d%C3%A9fense-et-cyber-s%C3%A9curit%C3%A9#pnote-23-3" id="rev-pnote-23-3">3</a>]</sup>.</p> <p>Ainsi la cyber-sécurité est un état (souhaité, réalisé,...) et parmi elle la cyber-défense peut être définie comme la <em>mise en œuvre par une entité politique de la protection de ses intérêts.</em></p> <p>A l'heure où dans la sphère occidentale, nous avons tous davantage de chances d'être victime d'une cyber-attaque que d'une attaque physique; nous aimerions, en guise d'ouverture, lancer un pont vers Michel Foucault et sa <em>biopolitique</em>.</p> <p>En effet il nous semble qu'à côté d'une forme d'exercice du pouvoir qui porte, sur la vie des gens, sur des populations, il faille s'attendre à l'émergence d'une cyber-politique, garantissant -à quel prix?; notre sécurité dans l'univers virtuel.</p> <div class="footnotes"><h4>Notes</h4> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/23/Cyber-d%C3%A9fense-et-cyber-s%C3%A9curit%C3%A9#rev-pnote-23-1" id="pnote-23-1">1</a>] Pour rendre justice au travail d'Olivier Kempf qui anime le blog EGEA, lire cet excellent <a href="http://www.egeablog.net/dotclear/index.php?post/2012/07/05/D%C3%A9fense-ou-s%C3%A9curit%C3%A9-%28cyber%29">article</a> d'introduction également</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/23/Cyber-d%C3%A9fense-et-cyber-s%C3%A9curit%C3%A9#rev-pnote-23-2" id="pnote-23-2">2</a>] C'est également l'opinion d'un commentateur inspiré qui cite <a href="http://www.droit.univ-paris5.fr/warusfel/articles/SecuDef_warusfel94.pdf">une source partageant cet avis</a></p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/23/Cyber-d%C3%A9fense-et-cyber-s%C3%A9curit%C3%A9#rev-pnote-23-3" id="pnote-23-3">3</a>] une critique agacée de la confusion des genres <a href="http://www.google.com/url?sa=t&amp;rct=j&amp;q=&amp;esrc=s&amp;source=web&amp;cd=1&amp;ved=0CFQQFjAA&amp;url=http%3A%2F%2Fmjp.univ-perp.fr%2Fdefense%2Fds22.pdf&amp;ei=XakNUMydNObA0QWmwIDSCg&amp;usg=AFQjCNGdGJloTzLrrRlwhq_mj1TQJKC6qQ&amp;sig2=xMcCoNAEMncWjXRbLk3Lrg">ici</a></p></div> http://cyber-defense.fr/blog/index.php?post/2012/07/23/Cyber-d%C3%A9fense-et-cyber-s%C3%A9curit%C3%A9#comment-form http://cyber-defense.fr/blog/index.php?feed/atom/comments/23 Le réseau des drones urn:md5:d8d84aa173177208db23167157cc7bed 2012-07-15T11:20:00+02:00 2012-07-15T18:45:50+02:00 admin Technologies et réseaux dronesespace et satellitesGPS spoofingIranliaison 16RQ170réseaux <p><img src="http://cyber-defense.fr/blog/public/.iran_droneRQ170_m.jpg" alt="iran_droneRQ170.jpg" style="float:left; margin: 0 1em 1em 0;" title="iran_droneRQ170.jpg, juil. 2012" /> Les drones montent en puissance. D'abord par leur utilisation militaire, mais aussi par un intérêt croissant de la société civile. Or dès que leur utilisation s’effectue au delà de la portée optique (que l'on peut approximer en miles nautiques par 1,23 fois la racine carrée de la hauteur du drone en pieds) il est nécessaire de trouver un moyen de relayer les ordres et les données entre l'utilisateur et le drone.</p> <p>Aujourd'hui, l'infrastructure utilisée est celle des satellites de communication.</p> <p>Aux Etats-Unis comme dans la plupart des autres pays, ces satellites sont de la gamme civile. En effet il est plus commode de choisir un satellite dans la zone survolée par le drone que de lancer une constellation qui couvrirait l'ensemble du globe.</p> <p>Cette situation possède quelques désavantages. D'abord, la bande passante des satellites de télécommunication civile est une ressource pour laquelle les armées sont en concurrence avec les utilisateurs civils (télévision, téléphonie, ...). Ensuite leur bande de fréquence autour de 36-54Mhz est adaptée aux utilisateurs civils, mais ne permet pas une utilisation à plein débit des drones tels le Global Hawk.</p> <p>Tout cela porte les Etats-Unis par exemple à imaginer un réseau de ballons plus légers que l'air pour relayer les données des drones en s'appuyant par exemple sur les systèmes de liaison de données comme la liaison 16 et ses successeurs.</p> <p>Car la vulnérabilité de l’infrastructure sur laquelle se dépolie les système de Drones fait débat<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/06/12/Le-r%C3%A9seau-des-drones#pnote-21-1" id="rev-pnote-21-1">1</a>]</sup>. Rappelons nous qu'en 2009 des insurgés irakiens avaient obtenus des images des Drones américains en interceptent le flux de données non crypté transmis par le drone<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/06/12/Le-r%C3%A9seau-des-drones#pnote-21-2" id="rev-pnote-21-2">2</a>]</sup>. Le Hezbollah aurait réussi a crasher plusieurs drones Israélien. Plus récemment la capture d'un Drone RQ170 américain par l'Iran représente une étape supplémentaire dans la cyberguerre autour des drones. L'Iran prétend qu'ils sont parvenus à capturer le drone en le forçant à se poser en territoire iranien, en modifiant le signal GPS (en clair, en lui faisant croire qu'il se trouvait à une position différente que celle où il était réellement; c'est ce que l'on appelle du "GPS-spoofing").</p> <p>Cependant pour arriver à un tel résultat il faudrait d'abord localiser le Drone. Eu égard à sa signature radar et à l’altitude auquel le drone évolue, cet exploit apparaît impossible pour le système de défense anti-aérienne iranien. Le reste de l'opération, qui brouillerait le signal GPS et en recréerait un nouveau apparaît également hors de portée pour l'Iran. Certes il est facile de brouiller un signal GPS, mais dans le cas du RQ170, il aurait fallu brouiller une zone très lointaine. Ainsi ce scénario n’apparaît possible qu'avec la complicité des Russes ou des Chinois<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/06/12/Le-r%C3%A9seau-des-drones#pnote-21-3" id="rev-pnote-21-3">3</a>]</sup>. Ainsi à l'évidence, une défaillance technique apparaît davantage plausible. Mais cette histoire démontre que dans l'opacité de la cyberguerre, la communication joue bien évidement un rôle de premier plan.</p> <p>En tout état de cause, les drones se reposent sur des réseaux vulnérables. Puisqu’il est illusoire de penser que leur données pourront transiter uniquement sur des supports militaires, le développement du durcissement de leurs données est primordial et passe à moyen terme par les techniques cryptographiques. Par la suite, l'architecture réseau des drones pourrait s’appuyer sur différents vecteurs aériens: avions, drones dédiés, ballons...</p> <div class="footnotes"><h4>Notes</h4> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/06/12/Le-r%C3%A9seau-des-drones#rev-pnote-21-1" id="pnote-21-1">1</a>] voir ce rapport officiel américain: <a href="http://www.google.com/url?sa=t&amp;rct=j&amp;q=operating%20next-generationremotely%20piloted%20aircraftfor%20irregular%20warfare%20sab-tr-10-03&amp;source=web&amp;cd=1&amp;ved=0CFEQFjAA&amp;url=http%3A%2F%2Finfo.publicintelligence.net%2FUSAF-RemoteIrregularWarfare.pdf&amp;ei=G-gCUJSZL9H74QS5y52UCA&amp;usg=AFQjCNGdKp39Qil5JkHSbRVYz8c7YGRPRw&amp;cad=rja">ici</a> et également cet <a href="http://korben.info/pirater-un-satellite-cest-simple-comme-bonjour.html">article</a></p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/06/12/Le-r%C3%A9seau-des-drones#rev-pnote-21-2" id="pnote-21-2">2</a>] Article en anglais <a href="http://online.wsj.com/article/SB126102247889095011.html">ici</a></p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/06/12/Le-r%C3%A9seau-des-drones#rev-pnote-21-3" id="pnote-21-3">3</a>] Selon James Lewis du Center for Strategic and International Studies de Washington, cette éventualité n'est pas à écarter: <a href="http://www.csmonitor.com/USA/Military/2011/1216/Did-Iran-hijack-the-beast-US-experts-cautious-about-bold-claims.-Video/%28page%29/3">voir cet article</a></p></div> http://cyber-defense.fr/blog/index.php?post/2012/06/12/Le-r%C3%A9seau-des-drones#comment-form http://cyber-defense.fr/blog/index.php?feed/atom/comments/21