Blog Cyber-defense - Mot-clé - économie Le blog sur les questions de défense en général et sur la cyberdéfense en particulier. 2023-06-28T09:40:21+02:00 La rédaction urn:md5:5758d3efb9495ffa8211bb031b6b3594 Dotclear 2016, l'année de l'ours urn:md5:99243a5b4211d69d7784fdfe036a78d2 2017-01-20T20:20:00+01:00 2018-03-07T14:47:40+01:00 admin Cyber guerre cyber-guerreEtats-UnisRussiestratégie indirecteéconomie <p>La Russie a quitté cette année le club des 5 pays ayant le plus gros budget de défense. Pour autant, la Russie n'a jamais pesé autant sur la scène internationale, et a largement fait la preuve de sa puissance, y compris militaire.</p> <p><img src="http://cyber-defense.fr/blog/public/depense_mondiales_defense_2016.svg" alt="depense_mondiales_defense_2016.svg" style="display:table; margin:0 auto;" title="depense_mondiales_defense_2016.svg, déc. 2016" /></p> <h3>Des dépenses militaires au plus bas depuis 1990 et une influence diplomatique au plus haut</h3> <p>Si Janes fait état d'une Russie qui rétrograde à la 6eme place des budgets de défense mondiaux, la Russie n'a eut de cesse de gagner de nombreuses batailles sur le terrain. Après l'épisode ossète et ukrainien, succès militaires dans la zone d'influence historique, la Russie a démontré en Syrie sa capacité à soutenir et opérer avec succès au delà de son "glacis". Ces interventions sont accompagnées d'un discours politique cohérent: la priorité à la souveraineté des États devant les droits des peuples; on peut partager ou pas cette position, Vladimir Poutine avance sur l'échiquier international ses pièces avec un sans faute.</p> <p><img src="http://cyber-defense.fr/blog/public/.the_economist_cover_m.jpg" alt="the_economist_cover.jpg" style="display:table; margin:0 auto;" title="the_economist_cover.jpg, déc. 2016" /></p> <h3>Un ascendant jusque dans la campagne américaine</h3> <p>Mais c'est sur le terrain idéologique, que la victoire de l'ours russe est la plus marquante, car partout dans le monde le populisme se répand comme une traînée de poudre. Jusque dans les berceaux de la pensée libérale: aux Royaume Unis et aux États-Unis, on observe de surprenants renversements illustrés par le Brexit puis l'élection de Trump - ce dernier nourrit par ailleurs une certaines sympathie pour Vladimir Poutine. Ces événements ne manquent pas de sel, et le récent discours du président chinois à Davos, louant le libre-échange<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2016/12/19/2016%2C-l-ann%C3%A9e-de-l-ours#wiki-footnote-1" id="rev-wiki-footnote-1">1</a>]</sup>, participe au sentiment d'un espace politique sens dessus dessous.</p> <p>Ainsi Barack Obama en a appelé à une enquête sur fond de soupçons d'influence dans la campagne électorale américaine, et a demandé l'expulsion de diplomates russes, un signe fort en termes de relations internationales mais qui vient encore appuyer un peu plus fort sur cet échec de la politique américaine vis à vis de la Russie.</p> <h3>Le mythe du Hacker russe... et la réalité</h3> <p>Historiquement, la Russie est un pays au premier plan en terme d’apprentissage des mathématiques. Une <a href="http://timss2015.org/advanced/timss-advanced-2015/mathematics/student-achievement/distribution-of-advanced-mathematics-achievement/" hreflang="en" title="Etude internationale sur le niveau des élèves en mathématiques en 2015">étude internationale sur le niveau des élèves en mathématiques en 2015</a> confirme que ce fait est toujours d'actualité. Les mathématiques sont à la base de la programmation informatique, et au vu des faibles débouchés offert par le marché de l'emploi russe dans le domaine, il n'est pas étonnant de voir que la Russie est un vivier de compétence cyber, à la fois en termes de quantité et de qualité.</p> <p><img src="http://cyber-defense.fr/blog/public/.iSIGHT_Partners_sandworm_targets_13oct2014_m.jpg" alt="iSIGHT_Partners_sandworm_targets_13oct2014.jpg" style="display:table; margin:0 auto;" title="iSIGHT_Partners_sandworm_targets_13oct2014.jpg" /></p> <p style="text-align:center;"><i>Sandworn, cyber-attaque utilisée contre l'Ukraine et l'OTAN sert au passage des buts purement criminels, illustrant la porosité des deux domaines dans le paysage cyber russe. (crédit iconographie iSight)</i></p> <p>Dès la chute du mur de Berlin, de nombreux chercheurs russes, laissés pour compte ont versé dans la cyber-criminalité , signant les premières pages de l'histoire du hacking Russe, tel <a href="https://en.wikipedia.org/wiki/Vladimir_Levin">Vladimir Levin</a>. L'état russe, de par son laxisme dans la prévention et la répression de la cyber-criminalité à largement favorisé l'émergence de ce paradis pour hackers. La situation aujourd'hui, avec un appareil d'état qui bénéficie de cette expertise, n'est pas fondamentalement différente, à cela près que la frontière entre cyber-criminels et les cyber-guerriers n'a jamais été aussi poreuse, au gré des besoins de l’état russe.</p> <h3>Avec une Amérique en transition politique, un vaste champ de potentialités en 2017 pour la Russie</h3> <p>Par son utilisation de la sphère cyber ou de moyens conventionnels pour influencer; du soft power au hard power, l'ours Russe a su imposer son calendrier et défendre sa vision avec audace et un évident succès, tout cela avec peu de moyens.</p> <p>A l'heure où la cible des 2% des budgets de défense est devenue une fin en soi, le retour de la Russie nous rappelle cette phrase de Raymond Aron:</p> <blockquote><p>J’appelle puissance sur la scène internationale la capacité d’une unité politique d’imposer sa volonté aux autres unités. En bref, la puissance politique n’est pas un absolu mais une relation humaine</p></blockquote> <p>Ainsi, s'il faut souhaiter que le budget de la défense français ne se voit pas amputé, il faut surtout souhaiter que les choix politiques tracent une voie ferme pour la défense, sans démagogie (Sentinelle...) ni électoralisme.</p> <div class="footnotes"><h4>Note</h4> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2016/12/19/2016%2C-l-ann%C3%A9e-de-l-ours#rev-wiki-footnote-1" id="wiki-footnote-1">1</a>] Cet <a href="https://www.lesechos.fr/17/01/2017/lesechos.fr/0211701757066_le-president-chinois-defend-la-mondialisation-a-davos.htm">article des Echos</a> relate ce nouveau discours inconcevable il y a encore 10 ans.</p></div> http://cyber-defense.fr/blog/index.php?post/2016/12/19/2016%2C-l-ann%C3%A9e-de-l-ours#comment-form http://cyber-defense.fr/blog/index.php?feed/atom/comments/44 Liars & Outliers - Bruce Schneier urn:md5:7aecbcaec984f4dbbcad4a82346af4a6 2012-09-07T21:23:00+02:00 2012-09-08T16:13:29+02:00 admin Défense en général Bruce Schneierconfiancecyber-sécuritéLiars and Outlierséconomie <p><img src="http://cyber-defense.fr/blog/public/.liarsandoutliers_s.jpg" alt="PageUnLiars&amp;Outliers" style="float:left; margin: 0 1em 1em 0;" title="PageUnLiars&amp;Outliers, sept. 2012" />Bruce Schneier est un expert américain reconnu de la sécurité technologique. Son <a href="http://www.schneier.com/">blog</a> est toujours une mine d’informations sur les problématiques de cyber-sécurité.</p> <p>Dans son dernier livre Liars &amp; Outliers, il étudie ce qui selon lui, est à la base de la sécurité dans toute organisation: la confiance.</p> <p>Dans la première des quatre parties que comporte son livre il passe en revue la confiance et la sécurité au travers d'une multitude d'approches différentes: économie, biologie informatique , etc. Ainsi il parle de <em>dilemme sociétal</em> lorsque l’intérêt de l'organisation est en compétition avec un autre intérêt.</p> <p>La seconde partie est consacrée au développement de sa théorie: la confiance est un élément essentiel de nos sociétés et la "pression sociétale" est le moyen par lequel nous y parvenons. Il y a selon lui quatre catégories de "pressions sociétales": la pression morale, la pression réputationnelle<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/09/07/Liars-Outliers-Bruce-Schneier#pnote-27-1" id="rev-pnote-27-1">1</a>]</sup>, la pression institutionnelle, et enfin, les systèmes de sécurité.</p> <p>La troisième partie se veut une mise en application et une mise en situation de la théorie précédente. Enfin la quatrième partie examine les cas où la "pression sociétale" échoue. Cette partie est également l'occasion de se pencher sur les nouvelles technologies et comment elles transforment la "pression sociétale".</p> <p>Cet ouvrage n'introduit pas d'idées révolutionnaires, mais cependant s'attache à formaliser et conceptualiser des notions intuitives. Aborder la cyber-sécurité et la cyber-défense sous l’angle de la confiance est une approche fructueuse. Dans l'univers dématérialisé qu'est le cyber-espace, la confiance est en effet à la base de tout. En particulier, la croissance du e-commerce repose totalement sur le sentiment de confiance du client. Une bonne lecture pour la rentrée.</p> <p><em>Liars &amp; Outliers - Bruce Schneier - 366p - Wiley press ISBN 978-1-118-14330-8.</em></p> <div class="footnotes"><h4>Note</h4> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/09/07/Liars-Outliers-Bruce-Schneier#rev-pnote-27-1" id="pnote-27-1">1</a>] cet anglicisme que l'on trouve sur le web, n'est pas encore dans les dictionnaires français, que le lecteur nous excuse pour son emploi, qui nous parait pourtant plus éclairant que "de réputation"</p></div> http://cyber-defense.fr/blog/index.php?post/2012/09/07/Liars-Outliers-Bruce-Schneier#comment-form http://cyber-defense.fr/blog/index.php?feed/atom/comments/27 Les capacités industrielles critiques urn:md5:4ede75fee69bec3a308634f15534c7f8 2012-07-28T13:15:00+02:00 2012-07-31T20:59:52+02:00 admin Défense en général cloudcyber défenseDGAindustrie de défenselivre blancprospective et stratégieéconomie <p>Du fait du cycle électif, le Sénat a bénéficié cette année de davantage de temps et de recul pour élaborer ses réflexions autour de notre politique de défense. Le mois de juillet a vu plusieurs rapports d'information parlementaires dont le rapport dit "Bockel" sur la cyber-défense. Un autre rapport, passé plus inaperçu, mais également intéressant (surtout à la veille d'une nouvelle loi de programmation militaire) porte sur les <a href="http://www.senat.fr/notice-rapport/2011/r11-634-notice.html">capacités industrielles souveraines - capacités industrielles militaires critiques</a>.</p> <p>On se souvient que dans le livre blanc sur la défense et la sécurité on pouvait lire qu'au rang des "priorités technologiques et industrielles découlant des objectifs stratégiques de la sécurité nationale à l’horizon 2025" figurait:</p> <blockquote><p><strong>Secteur de la sécurité des systèmes d’information</strong> Le développement des menaces sur les systèmes d’information et les réseaux implique de disposer de capacités industrielles nationales solides permettant de développer une offre de produits de sécurité et de cryptologie totalement maîtrisés au niveau national. Ces capacités sont aujourd’hui insuffisantes et dispersées. La France établira une stratégie industrielle, permettant le renforcement de capacités nationales de conception et de réalisation dans le domaine de la sécurité des systèmes d’information.</p></blockquote> <p>La parution de ce rapport est donc l’occasion de s’interroger sur les capacités dont dispose la France pour faire face au défi d'un domaine à la très haute technicité, et donc à de fortes exigences en terme de stratégie industrielle et de capacité de recherche et développement.</p> <h4>Un problème sémantique et stratégique</h4> <p>Ainsi le rapport souligne qu'il est difficile de définir ce qu'est une capacité industrielle souveraine. Ainsi après avoir débattu des différentes acceptions du terme "capacité industrielle souveraine", le rapport conclue que le terme plus adapté est "capacité industrielle militaire critique".</p> <p>De fait il faut pour pouvoir examiner ces fameuses capacités, être capable de mener une analyse stratégique, qui dépend alors forcément du contexte et du moment à laquelle on la réalise<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#pnote-24-1" id="rev-pnote-24-1">1</a>]</sup>. Le but final est de garantir, autonomie d’appréciation, de décision et d'action.</p> <p><img src="http://cyber-defense.fr/blog/public/cycleCIMC.png" alt="cycleCIMC.png" style="display:block; margin:0 auto;" title="cycleCIMC.png, juil. 2012" /></p> <h4>L'industrie dicte la stratégie, le livre blanc de 2008 reste évasif.</h4> <p>Le rapport souligne que ce processus idéal ne se réalise pas: "En France, la priorité va, depuis longtemps, à la politique industrielle sur les besoins opérationnel".</p> <p>Le livre blanc de son côté est resté flou: il affiche d'abord une expression peu claire des ambitions de défense (et des objectifs ultimes trop ambitieux), il est marqué ensuite par l’absence de lien évident entre les différents éléments de l’analyse stratégique et le format d’armée. Enfin, "l’incapacité ou le refus d’élaborer une stratégie d’acquisition et de la rendre publique – comme le souhaitait le Livre blanc - a permis, tout au long de la période 2007-2012, de faire prévaloir les objectifs de stratégie industrielle sur les besoins opérationnels."</p> <h4>Le nerf de l'industrie: le financement</h4> <p>Le financement des industries critique de défense trouve actuellement plusieurs sources. Il y a bien sûr et d'abord les crédits budgétaires du programme 144 de la mission défense, (mais également d'autres agrégats provenant du 146 "dissuasion" et 191 "recherche duale"). Il faut citer aussi le comité interministériel de restructuration industrielle<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#pnote-24-2" id="rev-pnote-24-2">2</a>]</sup> mais surtout le plus opaque Fonds Stratégique d’Investissement, doté aujourd'hui de 20 milliard d'euros. Malheureusement, le FSI n’intervient quasiment pas dans l’investissement d’entreprises de défense.</p> <h4>Les moyens de protection des CIMC</h4> <p>La premières mesure de protection des CIMC est le fait de permettre à l’État de choisir des producteurs nationaux, sans avoir recours à une mise en concurrence avec d'autres industriels étrangers offrant des produits meilleurs ou moins chers. Cette possibilité, est encadrée depuis 2011 par une directive européenne<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#pnote-24-3" id="rev-pnote-24-3">3</a>]</sup></p> <p>Ensuite vient la possibilité d'exporter facilement les productions nationales, auparavant très encadrée par le régime dit des CIEEMG<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#pnote-24-4" id="rev-pnote-24-4">4</a>]</sup> . Celui ci s'est assoupli avec une directive sur les transferts intracommunautaires d’équipements de défense<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#pnote-24-5" id="rev-pnote-24-5">5</a>]</sup>.</p> <p>Par ailleurs, la loi soumet à autorisation préalable du ministre chargé de l’économie les investissements étrangers en France qui, même à titre occasionnel, participent à l’exercice de l’autorité publique. Onze secteurs d’activité sont concernés par le décret dont la cryptologie, l’interception des correspondances, systèmes d’information.</p> <p>Enfin, en plus du dispositif de sécurité des activités d’importance vitale, un vaste arsenal législatif<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#pnote-24-6" id="rev-pnote-24-6">6</a>]</sup> (dont les lois sur le secret défense) permet une protection des CIMC.</p> <h4>Les conclusions du rapport</h4> <p>Le rapport pose d'abord trois débats:</p> <ol> <li>Le rôle prééminent donné à la DGA ne contribue-t-il pas à surpondérer la stratégie industrielle&nbsp;?</li> <li>L’absence de stratégie d’acquisition ne contribue-t-elle pas à sous pondérer les besoins opérationnels des armées&nbsp;?</li> <li>La nécessité d’arbitrages entre les besoins opérationnels et les préoccupations industrielles</li> </ol> <p>Il fait ensuite quelques recommandation:</p> <ol> <li>L’Etat gagnerait à simplifier ses outils d’analyse stratégique et à rendre sa démarche plus libre, plus cohérente et plus transparente.</li> <li>L’Etat doit déduire les CIMC de son analyse stratégique et non l’inverse</li> <li>L’Etat doit poursuivre ses efforts pour la sécurisation des approvisionnements en matériaux critiques</li> <li>L’action sur l’offre&nbsp;: ne pas renoncer à faire baisser les coûts des équipements militaires<sup>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#pnote-24-7" id="rev-pnote-24-7">7</a>]</sup></li> <li>L’action sur la demande – promouvoir la défense de l’Europe</li> </ol> <h4>Quelles leçons pour la cyber-défense?</h4> <p>La cyber défense et ses technologies appartiennent largement aux technologies militaires critiques et sont plusieurs fois citées explicitement. En particulier, le rapport demande la création d'un cloud européen. En effet tous les systèmes de stockage en ligne sont aujourd'hui aux mains des américains. Il y a donc un problème de dépendance totale du secteur aux État-Unis (comme pour le GPS).</p> <blockquote><p>Ces craintes ont décidé la France, en 2009, comme la Grande-Bretagne ou l’Allemagne, à bâtir un cloud souverain. (...) le couple Thalès-Orange a été agréé pour donner naissance au cloud souverain français&nbsp;: Andromède, pour un montant de 350 millions d’euros. Ce cloud souverain sera destiné aux administrations et aux entreprises afin de stocker des informations sensibles telles que des données personnelles administratives, des renseignements liés à l’e-santé ou encore des informations économiques.</p></blockquote> <h4>Un rapport courageux, pour quel effet&nbsp;?</h4> <p>Le rapport est, à notre sens, particulièrement pertinent. Opacité des intervenants et décideurs, rôle de la DGA, remise en cause de doctrines d’emploi trop tirées par la technologie au détriment du nombre, autant de questions taboues qui sont abordées par le rapport. L'audition du général Desportes, et la reprise de ses arguments est à cet égard, révélateur d'une excellente ouverture d'esprit.</p> <p>Puisque le but affiché est de servir de base aux travaux conduisant au nouveau livre blanc de la défense, alors il faut souhaiter que la démarche préconisée par le rapport soit retenue. Pour autant, nous sommes pessimiste sur ce mode d'action. Dans un contexte budgétaire dégradé et avec un secteur de la défense qui n'est pas au rang des premières priorités des électeurs, le risque est de voir émerger la même langue de bois que précédemment.</p> <p>Car finalement, si l'on accepte de partir du contexte actuel pour fixer une stratégie de défense, alors il faudrait accepter une diminution des ambitions françaises. Les politiques auront-ils le courage de faire cet amer constat&nbsp;? Rien n'est moins sûr.</p> <div class="footnotes"><h4>Notes</h4> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#rev-pnote-24-1" id="pnote-24-1">1</a>] les anglais, explique le rapport, jugent par exemple acceptable de ne pas maîtriser tous les aspects des technologies nucléaires, en se reposant sur leur stratégie d'alliance avec les USA</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#rev-pnote-24-2" id="pnote-24-2">2</a>] défini dans le rapport comme un organisme interministériel créé au début des années 1980 pour faire face aux restructurations industrielles (...) C’est encore aujourd’hui une structure de soutien et d’intervention gouvernementale au bénéfice des grandes entreprises (plus de quatre cent salariés) en difficulté.</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#rev-pnote-24-3" id="pnote-24-3">3</a>] directive 2009/81/CE, du 13 juillet 2009 sur les marchés publics de défense et de sécurité (MPDS). adoptée, selon le rapport, en grande partie à l’initiative de la France afin de lui ouvrir les marchés de défense de ses homologues européens.</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#rev-pnote-24-4" id="pnote-24-4">4</a>] commission interministérielle pour l'étude des exportations de matériels de guerre, des système de contrôle d'internet vendu par la France à des dictatures y échappe pourtant, lire <a href="http://cyber-defense.fr/blog/index.php?post/2012/02/29/DPI%2C-arme-de-guerre-et-nouvelle-g%C3%A9opolitique-des-tubes">[notre article sur les DPI</a>|/blog/index.php?post/2012/02/29/DPI%2C-arme-de-guerre-et-nouvelle-g%C3%A9opolitique-des-tubes]</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#rev-pnote-24-5" id="pnote-24-5">5</a>] directive 2009/43/CE du 6 mai 2009</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#rev-pnote-24-6" id="pnote-24-6">6</a>] Indépendamment de cette réglementation, l’Etat peut toujours prévoir, de façon statutaire et spécifique à chaque société, des mesures lui permettant d’avoir une majorité absolue de blocage (golden share).</p> <p>[<a href="http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#rev-pnote-24-7" id="pnote-24-7">7</a>] on évoquera à ce propos, des critiques sur le favoritisme dont aurait bénéficié le groupe Dassault sous l'action du précédent gouvernement. Selon le rapport la construction d'un monopole national n'est pas à favoriser car dès lors, l'Etat est contraint d'acheter à celui à n'importe quel prix.</p></div> http://cyber-defense.fr/blog/index.php?post/2012/07/28/Les-capacit%C3%A9s-industrielles-critiques#comment-form http://cyber-defense.fr/blog/index.php?feed/atom/comments/24