jeudi 9 juin 2011

OTAN : une nouvelle politique de cyber-défense ?

L'OTAN, qui sait parfaitement communiquer sur ses opérations en cours (Afghanistan ou Libye), devient beaucoup moins prolixe lorsqu'il s'agit d'évoquer le cyber-espace. Pour celles et ceux qui suivent régulièrement ce blog, j'essaie tant bien que mal de suivre les évolutions otaniennes en regard de cette thématique. Hormis la dernière communication au mois de mars où j'estimais les choses avancer enfin (un cadre précis et des intentions explicites), je suis beaucoup plus sceptique sur les annonces faites hier.

Hier et aujourd'hui à Bruxelles, les ministres de la Défense des membres de l'OTAN ont eu, entre autres sujets, à faire un point sur les actions en cours dans le domaine de la cybersécurité. Ceux-ci ont adopté la révision de la politique en terme de cyber-défense qui, dorénavant, "apporte une vision claire quant aux efforts que l'OTAN doit fournir dans ce cadre". Passons le fait qu'on pourrait l'entendre comme n'étant pas le cas jusqu'à présent (indice 1), on y apprend que cette nouvelle politique offrira "une approche coordonnée en cyber-défense avec un focus sur la prévention des cyber-menaces et la résilience" (des infrastructures de transport et de communication IP - ou autres - ? Celles-ci me semblent en être la cible).

Chaque structure de l'OTAN sera sous protection centralisée (entité à créer ?) et de nouvelles exigences en terme de cyber-défense seront appliqués.La nouvelle politique "clarifie les mécanismes politiques et opérationnels en termes de réponse en cas de cyber-attaques" (ce qui ressemble furieusement au décret de février 2011 portant sur les attributions élargies de l'ANSSI et la clarification juridique du "qui fait quoi").

Enfin, la politique établit les principes de coopération avec les partenaires nationaux respectifs (donc type ANSSI, GCHQ, etc.) mais aussi avec les organisations internationales (lesquelles ?), le secteur privé et académique. (Indice 2 : cela ressemble là aussi furieusement aux récentes orientations américaines dans le domaine). En parallèle à cette politique, un plan d'action a été adopté. Il servira d'outil afin d'assurer la mise en œuvre effective et dans les temps de la politique.

Pour conclure, et même si mes "indices" sont plus de l'ordre du ressenti, ce communiqué donne l'impression que l'OTAN s'est accordée a minima sur la cybersécurité (qui, remarquez-le, est appelé cyber-défense, on est chez les militaires, après tout ! :). Les annonces me semblent très (trop) politiques et bien moins "concrètes" (c'est certes relatif) qu'en mars dernier. Quid, par exemple, de l'appel d'offres qui devait être publié le mois dernier ? Si quelqu'un me le trouve ou a des informations, merci de le faire suivre : je réviserai l'impression que l'OTAN, au moins en cybersécurité, est une simple courroie de transmission des USA et qu'hormis la protection des infrastructures (de nature critiques), le concept et la doctrine définies depuis l'année dernière ont beaucoup de mal à être déclinés opérationnellement. Tout cela sent les effets d'annonce et le saupoudrage cosmétique !

Trackback : IPv6 et OTAN chez Cidris-Cyberwarfare

2 commentaires:

AG a dit…

Analyse très intéressante !

On aimerait, effectivement, être en mesure de lire l'originale...Les USA nous ont mal habitués ^^

Sportet a dit…

Merci pour ton commentaire !
On aimerait surtout avoir plus de détails et aller au-delà d'une "politique" (même s'il en faut, c'est la "vision"), des "exigences" ou de l'établissement de "principes" de coopération.

Il est certain qu'avec ces mesures, les cyber-attaques vont forcément diminuer ! (je sais, je peux être très ironique :)