31juil. 2012

Le rapport Bockel

14:27 - Par admin - Cyber défense - aucun commentaire

Le rapport "Bockel" sur la cyber défense va bientôt être digéré par la blogosphère française, aussi est-il temps pour nous d'aborder ce rapport public du Sénat, qui a fait couler beaucoup d'encre.

Le rapport

En 120 pages, le rapport Bockel tente d’offrir un panorama de la sécurité dans le cyberespace et de faire des propositions. Une première partie brosse les menaces. Virus, Anonymous, cybercriminalité: cela part tout azimut, en reprenant les faits qui ont fait la une des journaux: piratage de Bercy ou d'Areva. La Chine en prend pour son grade; pour autant, le rapport note: "La Chine, qui est le pays qui compte le plus d’internautes au monde, figurerait ainsi à la première place des pays victimes d’attaques informatiques".

Le rapport décrit ensuite comment nos partenaires (USA, UK, Allemagne) organisent leur cyber-défense. Pour le rapporteur la cyber-défense pourrait ainsi constituer l’un des volets de la relance de la coopération franco-allemande. Il faut bien l'avouer, celle-ci est en panne, surtout depuis le traité de Lancaster House qui a replacé les anglais comme partenaires privilégiés de notre coopération de défense.

Le rapport évoque aussi les possibilité de coopération internationale autour de la cyber défense et les projet de gouvernance d'Internet. En ce qui concerne l'OTAN le rapport estime qu'en dépit de quelques effort, l'alliance n'est pas suffisamment préparée., et soulève notamment la question de l'article 5 autour d'une cyber-agression[1]. Enfin la France est absent du centre d'excellence de cyber-défense de l'OTAN. L’Union européenne dispose d’un instrument spécialisé à travers l’Agence européenne chargée de la sécurité des réseaux et de l’information, l’ENISA. Cependant selon un groupe d’évaluation externe, noter le rapport: les activités de l’ENISA paraissaient « insuffisantes pour atteindre le niveau élevé d’impact et de valeur ajouté espéré ».

Dans ce panorama international marqué par des coopérations insuffisantes, les capacités françaises sont lacunaires. Ainsi excepté le ministère de la défense, les autres ministères ne sont pas bien préparés aux cyber-menaces. Les entreprises et les opérateurs d’importance vitale demeurent également encore insuffisamment sensibilisés.

Les propositions

Le rapport fait 50 propositions concrètes que nous n'évoquerons pas intégralement. Les grandes lignes de celles -ci sont:

  1. Renforcer les effectifs et les prérogatives de l’ANSSI afin de les porter à la hauteur de ceux dont disposent nos principaux partenaires européens;
  2. Donner plus de force à la protection et à la défense des systèmes d’information au sein de chaque ministère;
  3. Une doctrine publique sur les capacités « offensives »;
  4. Développer le partenariat avec le secteur économique;
  5. Assurer la protection des systèmes opérateurs d’importance vitale;
  6. Encourager la formation, soutenir la recherche et accentuer la sensibilisation;
  7. Encourager la sécurité, la confiance et la résilience à l’échelle européenne;
  8. Renforcer les capacités de cyberdéfense des Etats membres et des institutions européennes;
  9. Un enjeu majeur : Pour une interdiction totale sur le territoire européen des « routeurs de cœur de réseaux » et autres équipements informatiques sensibles d’origine chinoise.

Notre avis

Globalement, ce rapport présente le mérite de porter un sujet d'importance sur la place du débat public. Bien documenté (notamment sur l’État des organisations en France et à l'étranger), intéressant à lire, il offre un panorama précis de l'univers de la cyber-défense.

Il verse cependant parfois dans la vulgarisation sensationnelle comme l'illustre cet extrait: "la découverte récente du virus FLAME, vingt fois plus puissant". Qu'est ce que la puissance d'un virus ? Comment la mesure t-on ? Le public visé: des "non-experts", ne dispense pas de tenir des propos mesurés.

De même le rapport aurait pu être le point de départ de concepts qui n'ont pas encore été parfaitement figés:

"Aux yeux de votre rapporteur, la « cyberdéfense » est une notion complémentaire de la « cybersécurité », qui englobe la protection des systèmes d’information, la lutte contre la cybercriminalité et la cyberdéfense."

A ce sujet voir notre billet sur ces deux notions. On reste dans le droite ligne du livre blanc...

Enfin la proposition d'interdire les routeurs chinois est saugrenue: comme le soulignent les équipementiers chinois, les équipementiers européens contrôlent 40 % du marché chinois, alors que le matériel chinois ne représente que 1,5 % du marché européen. "Si l'on suit la logique du sénateur Bockel, c'est plutôt au gouvernement chinois d'avoir peur." déclare ainsi Lin Cheng de l'entreprise ZTE.

Il serait en effet plus efficace de s'assurer que l'administration de ces équipements puissent être contrôlée par l’État. De plus les micro-logiciels de ces équipements devraient être ouverts et libres pour permettre de dissiper tout doute. Et on en vient, à mon sens à notre plus grande critique du rapport. Il manque à notre sens dans ce rapport un réel plaidoyer pour les logiciels libres/ouverts, qui permettent à n'en pas douter une meilleure sécurité et transparence de l'univers cyber.

C'est un paradoxe qu'au moment de la sortie du rapport, les députés qui avaient adopté un système d'exploitation libre puissent de nouveau choisir le système d'exploitation Windows de Microsoft, comme relaté ici.

Les avis de la blogosphère

Sur Zdnet, Pierre Caron pense que le rapport va globalement dans le bon sens, mais désapprouve la proposition d'embargo sur les équipements de télécommunications chinois.

Le blog news0ft fait lui, une critique acerbe: "symptomatique de l’échec de la pensée militaire appliquée à la SSI". En prenant par exemple la possibilité qui devrait être laissée exclusivement à l’État de mener du reverse engineering[2]. Il critique ensuite le subventionnement de projets voués à l'échec. Nous avions cité dans un précédent billet la volonté de créer un cloud sécurisé européen, et c'est à ce dossier que news0ft fait allusion.

Stéphane Bortzmeyer, ingénieur à l’Afnic (agence en charge de l’attribution des noms de domaine en .fr) critique (entre autre) les menaces évoquées par le rapport, qui ne représentent qu'une petite partie des enjeux de la cyberdéfense: "les menaces les plus sérieuses aujourd'hui sont celles qui pèsent contre les citoyens. Ils sont menacés à la fois par les États (...) et par les entreprises privées (...). Aujourd'hui, le gros problème en sécurité informatique, c'est de protéger les citoyens contre ces puissances". Enfin selon lui, malgré des propositions dirigées vers les utilisateurs, le rapporteur se trompe de démarche: "Tant qu'on se contente d'incantations (« il faudrait que les utilisateurs fassent plus attention »), on ne risque pas d'améliorer la sécurité." Son long billet mérite une lecture.

Notes

[1] l’article 5, sur la solidarité entre ses membres en cas d’agression est le point primordial du Traité de l’Atlantique Nord

[2] pour approfondir le débat, un billet sur le rôle des militaires et des civils dans la cyber défense

aucun commentaire

Fil des commentaires de ce billet

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.

La discussion continue ailleurs

URL de rétrolien : http://cyber-defense.fr/blog/index.php?trackback/25