Mot-clé - cyber défense

Fil des billets - Fil des commentaires

16oct. 2012

Nos 5 propositions pour le livre blanc de la défense et la sécurité nationale

A l'heure où la commission s'active pour actualiser le livre blanc de 2008, nous constatons que pour la cyber-défense les résultats du précédent opus ne sont pas là. La France tarde à prendre la mesure de l'importance de ce domaine. La nouvelle fonction stratégique "connaissance et identification" n'a pas non plus été particulièrement développée. Aussi voulons nous formuler 5 propositions qui pourraient être incluses dans le prochain livre blanc de la défense et sécurité nationale. Celles ci ont été formulées en tenant compte d'un contexte budgétaire dégradé: elles ne sont donc pas une utopique liste reposant sur un gonflement du budget de la défense.

1. Généraliser l'utilisation du logiciel libre dans les systèmes d'information de l’État et les infrastructures critiques

Ce principe est le fondement d'un univers cyber sécurisé. Les logiciels propriétaires (i.e. dont le code n'est pas public) peuvent comporter des portes dérobées (back-door en anglais) et des vulnérabilités dont la correction dépend du bon vouloir de l’entreprise ayant fourni le logiciel. A l'opposé: le code libre est transparent, il bénéficie d'une communauté qui peut y participer et corriger les erreurs et vulnérabilités.

En ce qui concerne la cryptographie, on peut traduire ce paradigme par le principe de Kerckhoffs; l’algorithme peut être connu de tous: sa sécurité repose sur la clé, et seulement sur la clé. Cette transparence doit également s'appliquer aux équipements d'infrastructures critiques (routeurs, contrôleurs industriels...) qui devront posséder des micrologiciels (firmware en anglais) libres[1].

Ce principe est par ailleurs vertueux: non seulement on augmente la sécurité mais en plus on diminue le coût, le logiciel libre étant gratuit. Il faut rendre obligatoire l'informatique libre dans tous les ministères.

2. Créer une cyber-garde républicaine.

La communauté de développeurs et d'experts informatiques française est dynamique. Nous possédons parmi les meilleurs programmeurs mondiaux, héritage d'un fort enracinement des mathématiques dans notre système scolaire. A la manière de ce qui se fait pour le logiciel libre: la contribution d'une communauté mettant ses compétences au profit d'un projet, il faut tenter la même expérience dans la cyber défense.

Ainsi il serait possible d'intégrer dans une cyber-garde républicaine ou cyber-réserve les talents d’informaticiens, sélectionnés pour leur compétences dans des domaines variés. L'avantage c'est qu'il est inutile de fournir une arme ou un uniforme à ces personnes qui disposent déjà des instruments pour appuyer et renforcer l’État. Ceux-ci pourraient se voir confier une mission particulière (participer à un développement, traquer des bugs et des failles dans un logiciel, ou faire du reverse engineering....) ou conserveraient une certaine autonomie dans des domaines de recherches. Ces réservistes bénéficieraient d'équivalent-grades et de rémunérations similaires à ceux de la réserve opérationnelle, en leur versant en fonction de leurs contribution l'équivalent de 10, 20 ou 30 jours d'activité.

3. Créer un secrétariat d’État au cyberespace

Aujourd'hui, l'action de l'état dans le cyberespace est éparpillée entre plusieurs ministères, et coordonnée de manière plus ou moins heureuse pour ce qui concerne la sécurité par le SGDSN. L'importance du cyberespace aujourd'hui devrait justifier à elle seule la création d'un secrétariat d'état, qui décloisonne le développement et l'économie numérique de la sécurité. A cet égard, la sécurité du cyberespace est trop critique pour être seulement coordonnée par le secrétariat général de la défense et sécurité nationale.

Comme aujourd'hui où la direction du budget de Bercy encadre l'action de chaque ministère en matière de budget, ce secrétariat serait chargé de toutes les questions en relation avec le cyberespace de chaque ministère. Cet opérateur commun devrait donc voir certains effectifs jusqu'alors détenus par chaque ministère lui être transférés (y compris des effectifs de la DIRISI[2]). Cette rationalisation au niveau inter ministériel des SIC apporterait cohérence et économie.

Le directeur de la sécurité du secrétariat d'état au cyberespace devra être alternativement un militaire.

4. Renforcer au sein des forces armées l'organisation des systèmes d'informations

Au sein du ministère de la défense, il faut renforcer le rôle de la DIRISI en lui transférant un maximum de SIC que les armées gardent encore en propre en vertu de leur caractère spécialisé. La DIRISI doit se recentrer sur un cœur de métier qui serait l'opérationnel, tout en conservant un rôle d'interface avec le secrétariat d'état au cyberespace. Le CALID[3] resterait sous la coupe de la DIRISI; et de même un laboratoire de lutte informatique offensive serait créé. La montée en puissance de la DIRISI, qui devra rester sous les ordres du CEMA pour marquer son caractère opérationnel, pourrait conduire à moyen terme à la naissance d'une quatrième arme: celle du cyberespace.

La DIRISI bénéficiera d'une double subordination au CEMA et au Secrétaire d’État au cyberespace qui sera en mesure de demander son concours pour des missions particulières. A la manière de ce qui se pratique dans l'organisation territoriale de la défense, pour laquelle les militaires apportent leur concours pour les opérations intérieures, la DIRISI apportera son expertise et ses moyens.

5. Créer un Événement autour de la cyber-défense et cyber-sécurité de dimension majeure

Il existe certains rassemblements privés tel la Hack in Paris par exemple. Ici le but serait de créer un rassemblement similaire qui serve les intérêts de la Nation. Comment ? D'abord en permettant de recruter. En faisant découvrir les métiers des armées, ou encore la cyber-réserve évoquée plus haut. Ensuite en créant plusieurs concours dotés de prix importants. Les concours créent l’émulation et permettent de comparer le talents des informaticiens. Dans la sphère informatique, la compétition est une valeur fondamentale, comme les coding-parties[4] peuvent l'illustrer.

Cette manifestation devrait proposer plusieurs "challenges" et plusieurs catégories: des lycéens jusqu'aux professionnels du secteur, en équipe et/ou en individuel. En dotant ce concours d’au moins 1 million d'euros de prix, on s'assurerait d'une participation de très haut niveau. Cette somme apparaît dérisoire en comparaison par exemple du budget de fonctionnement de la HADOPI (10 millions d'euros en 2012), qui se révèle d'une utilité plus que contestable [5].

Certaines catégories pourraient être ouvertes à la compétition internationale, car dans ce domaine il s'agit aussi d'attirer des talents étrangers.

Cette grande manifestation serait le moment privilégié pour le recrutement et la communication de l’État vers la communauté informatique et le grand public.

Conclusion

Le futur livre blanc est l'occasion pour le politique de marquer l'importance accordée au cyberespace. Dans un contexte budgétaire contraint, il y a pourtant tout lieu d'être optimiste. En effet, la défense du cyberespace repose d'abord sur l'homme et l'intelligence plus que sur l'équipement. Cette dépendance donne du sens à nos propositions.

Notes

[1] De fait, une telle mesure rendrait caduque la polémique sur les routeurs chinois, puisque ceux-ci devraient posséder un code totalement transparent ...

[2] La Direction Interarmées des Réseaux d'Infrastructure et des Systèmes d'Information est l'opérateur des SIC du ministère de la défense, voir notre article ici

[3] Centre d'analyse de lutte informatique défensive, une présentation ici

[4] Rassemblement de programmeurs qui ont un temps donné pour créer une œuvre dans un domaine varié, voir ce site pour des exemples

[5] comme l'illustre ses résultats

28juil. 2012

Les capacités industrielles critiques

Du fait du cycle électif, le Sénat a bénéficié cette année de davantage de temps et de recul pour élaborer ses réflexions autour de notre politique de défense. Le mois de juillet a vu plusieurs rapports d'information parlementaires dont le rapport dit "Bockel" sur la cyber-défense. Un autre rapport, passé plus inaperçu, mais également intéressant (surtout à la veille d'une nouvelle loi de programmation militaire) porte sur les capacités industrielles souveraines - capacités industrielles militaires critiques.

On se souvient que dans le livre blanc sur la défense et la sécurité on pouvait lire qu'au rang des "priorités technologiques et industrielles découlant des objectifs stratégiques de la sécurité nationale à l’horizon 2025" figurait:

Secteur de la sécurité des systèmes d’information Le développement des menaces sur les systèmes d’information et les réseaux implique de disposer de capacités industrielles nationales solides permettant de développer une offre de produits de sécurité et de cryptologie totalement maîtrisés au niveau national. Ces capacités sont aujourd’hui insuffisantes et dispersées. La France établira une stratégie industrielle, permettant le renforcement de capacités nationales de conception et de réalisation dans le domaine de la sécurité des systèmes d’information.

La parution de ce rapport est donc l’occasion de s’interroger sur les capacités dont dispose la France pour faire face au défi d'un domaine à la très haute technicité, et donc à de fortes exigences en terme de stratégie industrielle et de capacité de recherche et développement.

Lire la suite...

29fév. 2012

DPI, armes de guerre et nouvelle géopolitique des tubes

internet mapLa répression en Syrie possède son volet cyber. Des sociétés comme Area ont aidé le régime à mettre en place un système de surveillance d'Internet à base de DPI. Les techniques de DPI, (Deep Packet Inspection) représentent au delà d’un danger pour la neutralité d’Internet, une menace pour les libertés individuelles et une méthode de renseignement. Bien que leur utilisation puisse être purement défensive, la prolifération des solutions DPI exige l'émergence d'une réglementation adaptée. De plus, les DPI font ressortir des aspects nouveaux d’une géopolitique des tubes que l’on croyait dépassée avec l’ère numérique.

Lire la suite...