vendredi 22 juillet 2011

Australie, cybersécurité et enjeux mondiaux sur AGS

L'Alliance GéoStratégique me fait l'honneur d'accueillir une réflexion autour du thème de la cybersécurité, plus précisément l'Australie et certains enjeux régionaux qui, pour certains, sont de portée...mondiale.

Il faut noter qu'en cette période estivale, où une partie de la population profite de congés généralement bien mérités,  AGS ne ferme pas ses portes. Les technologies étant ce qu'elles sont et nombre de Français n'ayant plus grand chose à envier aux Japonais (merci aux "Dieux" smartphone et wifi !), le tout vous laisse le loisir de consulter anciens et nouveaux articles, publiés régulièrement par ses membres ou des blogs associés, comme le mien. Bonne lecture !

mardi 19 juillet 2011

Opérer dans le cyberespace : la stratégie du Pentagone

Une partie de la sphère connectée, attentive aux problématiques de cybersécurité, attendait avec une certaine impatience la déclinaison par le Pentagone de l'Executive Order du président Obama de mai dernier. C'est le 14 juillet, jour de fête Nationale en France, que le document de 13 pages a été publié. Il faut d'ailleurs noter qu'il s'agit d'une version "Tout public" et que le document complet n'est pas accessible au commun des mortels. On peut raisonnablement penser qu'il y aura quelques fuites, savamment orchestrées, dans les semaines et mois qui viennent.

La lecture de ce document sobrement intitulé "Department of Defense Strategy for Operating in Cyberspace" (Stratégie du Ministère de la Défense pour opérer dans le cyberespace) a suscité des commentaires et des analyses et j'aimerai y aller de mon couplet (l'analyse viendra dans un prochain billet, en cours de rédaction).

On relèvera, pour le moment, que la stratégie du Pentagone s'appuie sur cinq piliers, appelés "Initiatives Stratégiques", qui peuvent être traités indépendamment les uns des autres : 
- Initiative Stratégique n°1 : le cyberespace devient un domaine opérationnel à part entière au même titre que la terre, les océans, le ciel et l'espace. Il doit dorénavant être traité comme tel ("organisé, entraîné et équipé"). Je reviendrai ultérieurement sur ce point puisque, contradiction ou non, le secrétaire adjoint à la Défense (William J. Lynn III) nous explique le plus sérieusement du monde que la stratégie n'a pas pour but de militariser le cyberespace !
- Initiative Stratégique n°2 : employer (donc concevoir) de nouveaux concepts opératifs pour protéger les réseaux et systèmes de la Défense.
- Initiative Stratégique n°3 : établir des partenariats inter-agences (fédérales), avec les autres ministères et le secteur privé.
- Initiative Stratégique n°4 : Développer de solides relations avec les Alliés (OTAN et au-delà : Russie, Inde, Brésil ?) et des partenaires internationaux pour renforcer la cybersécurité collectivement. 
- Initiative Stratégique n°5 : utiliser la créativité et encourager la recherche pour développer rapidement des nouvelles technologies (la Silicon Valley est particulièrement évoquée). 

mercredi 13 juillet 2011

Cybersécurité : quelques chiffres clés (à manier avec précaution !)

2 milliards d'internautes .
250 000 scans ou tentatives de scan par heure sur les réseaux militaires US.
15 000 attaques informatiques par jour sur les réseaux fédéraux US.
1,8 millions d'attaques par mois sur les systèmes informatiques du Sénat ou des diverses agences gouvernementales US.
Les différentes attaques proviennent de 207 pays

Ces chiffres datent de 2010 et donnent le tournis. Assenés ainsi et sans une lecture un peu plus nuancée, il est aisé de croire que les USA sont soumis de manière aigüe et permanente à une guerre de l'information dont le monde entier serait l'ennemi !

Vision réductrice mais qui participe au storytelling et à la puissance de feu des communicants. C'est aussi ce qui fait la force des USA qui, lorsqu'ils décident de s'emparer d'un sujet, ne font ni semblant ni les choses à moitié.

Quoiqu'il en soit, faites l'expérience en allant consulter le journal d'événements de votre antivirus/pare-feu qui, l'un sans l'autre, ne servent pas à grand chose : vous serez stupéfaits par le nombre de tentatives d'attaques, majoritairement issues de botnets malveillants, avec des origines géographiques tellement variées que vous pourrez faire le tour de la Terre à bon compte. Et sans quitter le confortable siège de votre bureau !

jeudi 7 juillet 2011

Naissance de l'International Cyber Security Protection Alliance (ICSPA)

Le mardi 5 juillet 2011, naissait officiellement un joli bébé que ses parents ont décidé d'appeler ICSPA (International Cyber Security Protection Alliance). La démarche mérite d'être saluée mais la prudence est de mise !

L'ICSPA a pour objectif de développer des relations entre les gouvernements, les institutions, les entreprises et les différents services de police et de justice, en construisant une plate-forme d'échanges et de conseil autour des problématiques de cybersécurité. Elle a l'ambition d'améliorer les capacités internationales en terme de réponse criminelle (police, justice) afin de protéger les professionnels et les clients. Elle s'adresse à tous, y compris à la Chine, qui saluera sans doute l'initiative tout en partant dans un grand éclat de rire. Discrètement, bien-sûr ! :)

Patronnée par le gouvernement de sa Gracieuse Majesté, le comité de direction (le board) est dirigé par David Blunkett, homme politique britannique de premier plan. A ses côtés officient deux autres membres, passés par les arcanes de la Défense ou de l'administration, tout en exerçant dans le secteur privé depuis des années. En appoint, un conseiller spécial, Américain, spécialiste en cybersécurité. A noter les liens directs de ces personnes avec des services d'enquête qu'ils soient policiers ou militaires (enquêtes criminelles, renseignement et contre-terrorisme).

Maintenant, les partenaires industriels : Cassidian, filiale d'EADS qui portait encore récemment le nom de Defense and Security, une société d'intégration et de conseil Core Security Technologies, trois autres sociétés moins connues de ce côté-ci du Channel et enfin deux éditeurs d'envergure mondiale : McAfee et Trend Micro. Le budget, enfin, est abondé par les partenaires de l'Alliance qui espèrent une participation significative de l'Union européenne.
 
Voilà donc pour le côté désintéressé ("non-for-profit organisation") et international (des Anglais et un Américain) ! :) J'oublie cependant la touche Européenne puisque Europol fait également partie des parrains. On peut y voir la caution l'interface avec les services de police et d'enquête du Vieux Continent.

Si l'initiative est louable, dans le sens où je fais partie de ces personnes qui appellent depuis plusieurs mois à une meilleure coordination internationale et, surtout, l'établissement d'une politique commune européenne sur la cybersécurité, quelques éléments troublants obscurcissent l'horizon.

D'abord, cette Alliance semble toute droit sortie des initiatives encouragées par la politique américaine (et britannique) en la matière : développer un partenariat public/privé fort et moteur. Ensuite, baser cette Alliance à Londres avec un board et un conseiller spécial, tous anglo-saxons et ayant des accointances certaines avec la galaxie "renseignement", ne facilite pas forcément une offre de service à destination de certains pays européens, sensibles à ce sujet. Que dire, alors, de cette même proposition envers la Chine ?! Enfin, laisser entendre que cette organisation serait presque caritative (je caricature à peine !) alors que son fer de lance est constitué d'éditeurs ou d'industriels importants voire majeurs dans la Sécurité (ou qui cherchent à se renforcer) est assez surprenant.

L'initiative, cette semaine, du député belge François-Xavier de Donnea me semble davantage correspondre à ce que l'on est en droit d'attendre du continent européen, qui dispose d'une histoire et de valeurs susceptibles de transcender les intérêts partisans. L'un dans l'autre, on ne peut qu'être consterné par cette assemblage hétéroclite d'initiatives où l'on ne distingue plus vraiment ceux qui cherchent à œuvrer pour le bien de tous et les autres qui eux, sont dans un état d'esprit bien différent.

mardi 5 juillet 2011

OTAN : Cyber Security Strategic (le livre)

Sans surprise aucune, l'OTAN vient de publier un livre intitulé "Cyber Security Strategic" qui risque de se révéler aussi que décevant que passionnant.

Décevant parce que le premier survol que je viens de faire du document confirme les craintes que ce blog souligne depuis plusieurs mois : la cybersécurité au niveau de l'Union européenne relève plus d'une douce utopie que d'une volonté politique (inexistante par ailleurs, sur ce sujet...comme tant d'autres ?) et c'est l'OTAN qui est chargée de donner la cadence, ce qui tombe bien, pour une organisation militaire ! Et qui dit OTAN dit les...USA*!

L'auteur, Kenneth Geers, est le représentant américain auprès du CCDCOE de Tallinn. Détaché du NCIS (qui n'est pas qu'une série américaine mais bel et bien l'organisme chargé des enquêtes criminelles de la Navy !), son livre transpire la vision américaine, dont la doctrine se matérialise depuis le mois de mai. Les exemples pris traitent des thématiques et des problématiques récurrentes du point de vue américain : l'Arabie saoudite qui a élaboré un Firewall national à finalité religieuse (conformité avec les règles de l'Islam), des agents de la NSA qui jouent les attaquants lors d'un cyber-exercice en se faisant passer pour des...Nord-coréens. Puis enfin Moscou, la Chine, l'Iran (et Stuxnet) et la Corée du...Nord, encore ! Ces mots-clés revenant beaucoup tout au long de la première partie du livre.

Venons-en, tout de même, aux aspects intéressants voire passionnants de ce livre qui portent sur les stratégies possibles de mitigation des risques, pouvant se résumer ainsi : 
- IPv6 comme solution technique ? Réponse : le protocole solutionne bien une partie de la problématique mais soulève aussi de nouveaux problèmes.
- La cyber-dissuasion peut-elle empêcher ou interdire les cyber-attaques ?
- Le cyber-contrôle (comme pour les armes chimiques) avec les délicates notions de prohibition et d'inspections.
- Enfin, une tentative intéressante de transposition des principes de l'Art de la guerre de Sun Tzu au cyber-espace. Certains des principes peuvent s'appliquer, d'autres comportent des limitations, enfin une partie ne le sont pas du fait des spécificités de l'Internet comme champ de bataille (rapidement évolutif, topologie mouvante, innovations techniques, etc.).

La dernière partie du livre porte sur l'utilisation de la méthodologie DEMATEL qui a pour objet d'évaluer la pertinence des mitigations face aux risques relevés. La méthode permet la réduction des risques en terme d'influence directe et indirecte, avec une échelle de calcul assez simple. Grâce à cette méthodologie, la conclusion de ce livre est que la dissuasion, le contrôle ou l'Art de la guerre appliqués au cyber-espace ont une portée limitée. Seul le protocole IPv6 semble trouver grâce aux yeux de l'auteur puisque, d'après lui, il permet de réduire assez fortement l'anonymat qui est, pour le moment, le vrai talon d'Achille de la cyber-défense. N'étant pas spécialiste de l'IPv6, j'aimerai un avis d'expert sur le sujet : n'hésitez-pas à réagir et partager toute connaissance avérée sur le sujet !

Que dire de plus si ce n'est qu'il est dommage de constater ce "laisser-faire, laisser-aller" vers une cyber-défense européenne à la mode OTAN. Mais il est vrai qu'à force de construire des réponses nationales** à coup de déclarations d'intention "pressantes" ou de vagues coordinations, mêmes sincères, la cybersécurité made in Europe risque de n'être qu'une chimère de plus.

* "[...] l'impression que l'OTAN, au moins en cybersécurité, est une simple courroie de transmission des USA", déjà le mois dernier ou en novembre 2010 !

** derniers en date, les Pays-Bas (après le Royaume-Uni, la France ou l'Allemagne).

vendredi 1 juillet 2011

Le pactole des cyber-assurances

Ce qui pourrait presque faire sourire est en train de devenir un énorme business : de plus en plus d'entreprises chercheraient à souscrire des contrats d'assurance spécifiques afin de se couvrir contre les cyber-risques !

Sénat américain, CIA, FMI, Lockheed Martin, Citigroup, Google, Sony. Cette liste, non-exhaustive, des institutions et des entreprises internationales touchées ces dernières semaines par des intrusions informatiques a conduit à une perte en intégrité ou en confidentialité de certaines de leurs données. Au-delà de l'impact conséquent en terme d'image de marque pour les victimes, c'est aussi et surtout les coûts financiers, directs et indirects, de cette "flibusterie" des temps modernes, qui les fait se tourner vers les assureurs : atteinte à l'image de marque, perte de confiance en la marque, coûts de la perte ou du vol des données, possibles procès par des clients.

La liste des impacts peut vite s'alourdir et traumatiser réellement l'entreprise visée. Sony, par exemple, au-delà de l'énormité du coût estimé (presque 13,5 milliards de $ !), connaîtra dorénavant un "avant" et un "après" Lulzsec,  intériorisé (psychologie des dirigeants, des salariés et des consommateurs) donc difficilement mesurable. Et pourtant bien réel.

Les assureurs ont, ces dernières semaines, noté un afflux de demandes d'information, sachant qu'il n'existe pas (encore) de standard ou de cadre normatif en cyber-assurance. La tendance existe cependant, puisque l'un des volets des mesures en cybersécurité, prises le mois dernier par l'administration Obama, a pour objet de faire converger le législatif vers quelque chose de moins décousu (et non pas des dizaines d'amendements comme c'est le cas actuellement). L'adoption d'un cadre législatif cohérent devrait accélérer son utilisation juridique, particulièrement dans le monde de l'assurance.

La partie normative est donc l'un des vecteurs essentiels, partagée entre le NIST et les recommandations issues du DHS voire du CyberCom. Le DHS, avec le SANS, vient d'ailleurs de dévoiler une méthodologie de scoring logicielle (vulnérabilités et bonnes pratiques des développements). Ne manque plus qu'un travail en commun avec le NIST pour élaborer un guide spécifique ou, du moins, énoncer les bonnes pratiques à adopter : identification et classification des Assets (au sens IT), analyse(s) de risques, couverture des risques et risques résiduels, déclinaison (politiques et dispositifs mis en œuvre), formation du personnel, mesures particulières, etc. Le tout devant permettre de déterminer assez finement une classification finale, pourquoi pas sur le principe de l'étiquette-énergie, donc d'une grille de tarifs modulables.

Il y a donc là tout un pan à construire, au confluent de la technique, du législatif, du juridique et de l'évaluation des risques. Gageons que les géants de l'assurance ont flairé le filon et élaborent de juteux contrats qui ne vont pas tarder à être proposés sur le marché. L'article Reuters, d'où est issue cette réflexion, estime d'ailleurs ce marché à plusieurs centaines de millions de $ !