mardi 7 juin 2011

Cybersécurité USA : les propositions du CNAS

Ah ! L'Amérique. Ou plutôt les États-Unis d'Amérique. Ses hamburgers, Hollywood, Apple et ses...think-tanks ! Les USA, donc, possèdent le plus grand nombre mondial de ces "laboratoires d'idées" avec cette particularité toute pragmatique qu'ils ne "pondent" pas que du papier et de belles idées mais que celles-ci sont souvent déployées dans la vie politique, économique et sociale du pays.

L'un de ces think-tank, le CNAS (the Center for a New American Security) vient de publier deux tomes concentrant un panorama complet et à jour des enjeux et des problématiques en cybersécurité. Ce panorama s'adresse avant tout aux décideurs politiques américains : le législatif donc la chambre des représentants à travers ses sénateurs/sénatrices mais surtout l'exécutif actuel, le président Obama et son administration.

Il va m'être très compliqué d'en faire un résumé puisque je viens tout juste de commencer à survoler l'un des deux tomes publiés (plusieurs centaines de pages) mais quelques idées fortes peuvent ici être résumées :
- La cyber-insécurité est en train de devenir l'une des menaces principales pour le gouvernement fédéral et la sécurité nationale;
- Les entreprises américaines en général et celles de défense en particulier sont des cibles de choix qu'il faut protéger en priorité;
- Le CNAS recense 1,8 milliards d'attaques par mois sur les réseaux fédéraux (!);

Le CNAS salue les mesures annoncées par l'administration Obama le mois dernier mais considère qu'elles n'apportent principalement que des réponses à finalité "militaires" (comprendre guerrières). En complément, il propose d'adresser également les problématiques de protection de la propriété intellectuelle (dont le vol "sape la puissance américaine"), et de développer les moyens d'assurer un cyberespace ouvert et interopérable.

Il propose enfin de créer une nouvelle agence chargée de coordonner les efforts en terme de protection du cyberespace, de la rattacher directement au bureau exécutif (la présidence) sous l'égide d'un conseiller spécial reconnu également par le Sénat. Cette agence devra rester de petite taille, réactive et maintenir un lien proche avec le Conseil National de Sécurité et le Conseil National Économique et devra éviter une duplication des fonctions déjà existantes.  

Pour ce dernier point, il serait vain de penser que le DHS n'est pas visé : ministère à part entière, il lui est également conseillé d'augmenter ses capacités en matière d'évaluation des risques et de traitement des incidents. Ce qui est plutôt cocasse quand on sait les moyens dont dispose le DHS avec, en particulier, l'ICS-CERT dont l'objectif premier, justement, est de réagir préventivement ou curativement aux incidents et/ou attaques.

Ces éléments me semblent confirmer une tendance qui se dessine depuis le début de l'année 2011 : la cybersécurité est devenue un sujet "à la mode" du côté de Washington. Un sujet politique également puisque le CNAS ne sera pas le seul think-tank à publier son étude mais surtout à essayer d'influencer les arcanes du pouvoir. Enfin, rappelons-le si besoin est : les budgets consacrés, déjà importants, vont probablement encore augmenter dans les mois et les années qui viennent. Le sujet devient donc également économique. Ah ! L'Amérique. Ses dollars, son business, etc.

2 commentaires:

AG a dit…

Bonjour et merci pour cet article.

Je dois remercier son auteur pour son effort de rédaction et de synthèse.

J'avoue cependant que les propos tirés du rapport ne m'incite pas à la lecture.

=> 1,8 milliards d'attaques : on connait la subtilité américaine qui consiste à confondre scans, erreur d'authent', ping...avec les vraies attaques...

=> c'est une énorme bétise que fait ce rapport de considérer la stratégie comme uniquement militaire. Bien au contraire, et même si on en retient seulement cet aspect, le document est plus disert sur les aspects de liberté d'usage et également d'inter-opérabilité (on y parle de standards et de gouvenance...)

=> quand à lutter contre le vol de propriété intellectuelle, on ne voit que trop bien le commanditaire du rapport et la transcription sans finesse de ses objectifs.

=> dernier agence ? le problème américain est bien d'avoir TROP d'agences mais pas assez de compétences ^^

Bref, sincèrement, un grand merci pour avoir commencé à lire ce rapport car vraiment, il faut lire les publications de ce type. Délètères voire ridicules, elles sont l'expression d'un certain type de pensée à connaître pour le dénoncer !

Sportet a dit…

Merci Arnaud pour ce commentaire.
Je serais cependant un peu moins "tranchant", même si je partage la majeure partie de ton opinion.

Coïncidence d'ailleurs que ton commentaire puisque je réfléchissais ce matin (en me rasant : si si ! :) à ce paradoxe de tancer le DHS sur la gestion des incidents, alors qu'il possède un CERT. CQFD : big business en devenir et politique. D'où la fin de mon billet, remodelée et complétée.

Je pense cependant qu'il est intéressant de lire attentivement certains chapitres du 2ème tome, particulièrement le dernier sur les scénarii futurs de la cybersécurité.