30mar. 2018

Que retenir de la revue stratégique de cyberdéfense?

revue_sgdsn.png En février 2018 a été publié la Revue stratégique de cyberdéfense. Ce document inédit est présenté comme un véritable libre blanc sur la cyber défense. Écrit par le secrétariat général à la défense nationale, c'est en effet le premier document de niveau politique entièrement dédié à ce domaine qu'avait toutefois largement investi le livre blanc de la défense de 2013 et la revue stratégique de novembre 2017.

Cette revue fait d'abord un état des lieux des acteurs et de la menace, il décrit le modèle français de cyberdéfense et propose des améliorations, il ouvre enfin des perspectives visant à améliorer la cybersécurité de la société française.

Nous vous proposons dans cet article d'en résumer les éléments principaux et nous livrons à une courte critique de celui-ci. Le document est téléchargeable ici.

Lire la suite...

04juin 2013

Une montée en puissance de la cyber-défense aux accents bretons

Hier, le ministre de la défense est intervenu au cours d'un colloque organisé à l’École des Transmissions de Rennes. On connait l'attachement de Jean-Yves Le Drian à la Bretagne, et le ministre n'a pas manqué de placer sa région, en proposant un pôle d'excellence de la cyber-défense:

« Ce pôle pourrait se traduire par un projet ambitieux qui pourrait naître ici. Parce que, en matière de défense, nous avons deux creusets - et c’est la mission que je leur donne - les écoles de Saint-Cyr Coëtquidan et l’école des transmissions. Et, autour, il y a des partenariats avec les grandes écoles de Bretagne, des grands centres universitaires de la région, et une volonté des élus locaux et régionaux. Il faut les réunir et les porter dans une dynamique commune. Le ministère est déterminé à y contribuer » (source Ouest France)

Jean-Yves Le Drian à Rennes le 3 juin Jean-Yves Le Drian à Rennes le 3 juin (Crédit photo Ouest France)

Son allocution a confirmé les lignes directrices fixées dans le livre blanc, à savoir: le développement de capacités de cyber-offensives et une augmentation des moyens budgétaires, mais aussi la création de la cyber-réserve, dont nous sommes impatients de voir la concrétisation. Dans un contexte de réduction d'effectif à la défense, le ministre a annoncé que 350 personnels supplémentaires seraient affectés à la cyber-défense.

Surtout, le ministre a annoncé une colocalisation de l'ANSSI et de la chaînes des "cyber-armes". Ce rapprochement a du sens et devrait, selon nous, constituer le point de départ d'un secrétariat d’État au cyberespace comme nous le défendions dans cet article.

Le pays breton abrite de prestigieuses écoles d'informatique et de télécommunication, mais il est loin d'être le seul. Ainsi le favoritisme du ministre affiché à la fois pour la région (Bretagne) et la couleur de l’uniforme (armée de terre) ne rend peut-être pas justice à la cyber-défense: une priorité à la fois nationale, inter-armées, voire inter-ministérielle.

EDIT 1: le texte intégral du discours ici.

21déc. 2012

La cyberguerre, un fantasme ?

CyberWarfareLa cyberguerre fantasme ou réalité ? A l'heure où la cyber-défense revient sur le devant de la scène, dans l’actualité mais également dans le futur livre blanc, la priorité entre offensive et défensive est débattue. Finalement, la cyber-offensive est-elle utile ? La défensive ne devrait elle pas se réduire à de la simple sécurité ?

Ainsi le 20 novembre, l'Express révélait qu'une véritable cyberguerre s'était jouée derrière le piratage dit "de l'Elysée".[1].

L'exemple américain

Dans son édition du 8 décembre, The Economist publie un article sur cette "cyberwarfare" sous-titré "Hype and fear", disponible en ligne ici. Présentant l'avance majeure dont dispose les États-Unis, celui-ci conclut que l'offensive est largement sur-évaluée.

L'article rappelle qu'aux États-Unis, le spectre de cyberattaques ayant des effets dans le monde réel est largement évoqué. La notion de "Cyber Pearl Harbor", en vogue. Une politique volontaire est en place. Elle se serait traduite récemment selon l'hebdomadaire par la signature au mois d'Octobre par Obama d'une directive secrète pour des cyber-opérations. Il est clair qu'avec un budget de 3,4 milliards de dollars, le Cyber Command américain dispose de moyens importants (ce budget est quasiment celui de l'ensemble de la dissuasion nucléaire... en France).

Il faut également noter que le patron du Cyber Command US (Général Keith Alexander) est également le patron de la NSA, contrairement à un pays comme la France où le cyber possède une partie militaire (via l'OG-cyber[2], sans budgets ni moyens importants) et une partie civile distincte (l'ANSSI, mieux dotée).

L'équilibre entre offensive et défensive en débat

A propos de l'équilibre entre défense et attaque, en bon militaire, le général Alexander estime que l'offensive est primordiale. Pour autant, The Economist affirme que les défenses américaines ne sont capables d'arrêter que 3 attaques sur 10; par ailleurs, le journal cite Martin Libicki de la Rand Corporation qui prétend que la cyber-offensive ne peut jouer qu'un rôle de soutien d'opérations classiques. [3].

Selon Jarno Limmel de Stonesoft, une entreprise de cyber-sécurtié, la cyber-défense doit s'appuyer sur 3 capacités clés:

  • résilence contre une attaque majeure
  • des capacités d'attributions afin d'interdire l'impunité
  • des moyens de rétorsion pour dissuader une éventuelle attaque.

Pour autant, The Economist estime que les luttes dans le cyberespace sont principalement d'ordre économique. En effet, la Chine et la Russie sont citées pour être les spécialistes de l'espionnage industriel [4]. Surtout, l’hebdomadaire souligne ironiquement qu'avant de penser à l’attaque, les pays occidentaux et les américains les premiers devraient colmater les brèches dans leur propre logiciels (98% des failles de sécurité viendraient de logiciels produits aux États-Unis).

Le retour de la dissuasion

Finalement, on revient sur le brouillard de guerre propre au cyber-espace. En définitive la dissuasion repose sur la crédibilité d'actions de représailles et sur la possibilité d'attribution. Au mois d’Octobre le secrétaire d’État à la défense américain affirmait "les potentiels agresseurs devraient avoir conscience que les États-Unis disposent de la capacité de les localiser et les tenir responsables d'actes affectant l'Amérique ou ses intérêts". Même si cette affirmation peut paraître optimiste, elle établit une voie possible pour la dissuasion: le rôle central de capacités d'attribution permettant des représailles, y compris classiques.

Pour penser la cyber-guerre, d'abord repenser la guerre

En définitive si la cyber-guerre apparaît pour certains comme un fantasme; c'est d'abord parce que l'imaginaire collectif n'a pas encore pris conscience des changements dans la conflictualité. La guerre telle qu'elle est encore pensée n'existe plus. Comme l'a bien exprimé Bertrand Boyer dans son ouvrage Cyberstratégie, l'art de la guerre numérique[5]:

"il faut résolument aujourd'hui favoriser l'évolution de notre cadre de pensée, briser les codes qui régissent la stratégie et son rapport à la violence. Il nous faut concilier l'inconciliable, penser l'affrontement sans la guerre, la coopération sans la transparence, la paix comme un état transitoire."

Ainsi l'émergence de la cyberguerre n'est que le symptôme d'une recomposition des stratégies de puissance des États, et sans doute, de nouveaux acteurs.

Notes

[1] On peut pour étoffer le sujet lire ce point de vue, mais aussi le naturel démenti américain ici

[2] Officier Général Cyberdéfense, appartenant à l’État-major des armée

[3] "Cyber-warfare can only be a support function" for other forms of war

[4] L'article cite cet exemple où des hacker d'une agences de renseignement étranger, auraient en 2009 dérobé 24.000 fichiers confidentiels de Lockeed Martin, qui auraient permis d'espionner les réunions abordant des aspects technologiques des capteurs du chasseur J-35 Joint Strike Fighter.

[5] Paru en mai 2012, Éditions Nuvis, ISBN 978-2-36367-013-7

31juil. 2012

Le rapport Bockel

Le rapport "Bockel" sur la cyber défense va bientôt être digéré par la blogosphère française, aussi est-il temps pour nous d'aborder ce rapport public du Sénat, qui a fait couler beaucoup d'encre.

Lire la suite...