vendredi 24 juin 2011

Cybersécurité USA : les règles (officielles) d'engagement signées

Le mois dernier, le gouvernement Obama annonçait une série de mesures dans le domaine de la cybersécurité. Les mesures étant déclinées sur le plan défensif et offensif, c'est ce dernier point qui avait surtout retenu l'attention de certains média (traditionnels et Internet).

La riposte à coups de missiles, pas seulement conventionnels (?!), en réponse à une attaque sur l'infrastructure de production et de transport de l'électricité avait choqué plus d'un commentateur avisé. Je demeure toujours convaincu que cette image est avant tout l'interprétation de "toute cyber-attaque d'origine étatique pourra être considérée comme un acte de guerre".

Il semblerait que des fuites savamment organisées (forcément) épaississent un peu plus le brouillard* puisque l'on en apprend un peu plus sur l'Executive order, portant sur la cybersécurité, et signé le mois dernier par le président Obama. En lieu et place de missiles, il y est surtout question des réactions militaires autorisées en fonction de certaines cyber-attaques : celles-ci vont de l'emploi des capacités cyber-offensives à la conduite de missions de renseignement (espionnage = usage CIA).

Dans tous les cas, toute réaction devra avoir reçu une autorisation présidentielle et, même si l'ensemble des règles ne sont pas encore connues, une cyber contre-attaque américaine passant par un autre pays devra avoir l'aval de celui-ci. Sur le principe de ce qui se fait du point de vue de l'aviation militaire américaine qui doit, normalement*, obtenir l'autorisation de passage dans l'espace aérien du pays survolé.

Ce dernier point me plonge dans une grande perplexité puisque les attaques peuvent être menées très rapidement et qu'un pays comme les USA, inventeur - entre autre - de l'Internet, possède les outils les plus pointus pour camoufler de possibles attaques de son territoire. Disons que dans ce cadre, on est plus dans une réponse de type "communication officielle" avec, optionnellement, l'implication des alliés (au hasard : l'OTAN).

Étrangement*, les règles d'engagement de la CIA n'apparaissent nulle part. Sachant que cette dernière possède les propres siennes (également sous Executive order mais de niveau...secret !) dans le cyber-espace et qu'elles sont moins contraignantes que celles qui s'appliquent aux militaires. Alors peut-être qu'un jour, oui, en réponse à une cyber-attaque, l'un des (nombreux) drones employé par "l'Agence" balancera son ou ses missiles sur un data-center militaire. Ou, en tout cas, sur une cible de valeur militaire voire politique.

* on notera avec une certaine gourmandise que la discrétion induite par le brouillard n'empêche aucunement de jouer à "ma main droite ne voit pas ce que ma main gauche fait" ! Mais qu'aussi, Tom Clancy est un visionnaire ! ;)

Aucun commentaire: