mardi 5 juillet 2011

OTAN : Cyber Security Strategic (le livre)

Sans surprise aucune, l'OTAN vient de publier un livre intitulé "Cyber Security Strategic" qui risque de se révéler aussi que décevant que passionnant.

Décevant parce que le premier survol que je viens de faire du document confirme les craintes que ce blog souligne depuis plusieurs mois : la cybersécurité au niveau de l'Union européenne relève plus d'une douce utopie que d'une volonté politique (inexistante par ailleurs, sur ce sujet...comme tant d'autres ?) et c'est l'OTAN qui est chargée de donner la cadence, ce qui tombe bien, pour une organisation militaire ! Et qui dit OTAN dit les...USA*!

L'auteur, Kenneth Geers, est le représentant américain auprès du CCDCOE de Tallinn. Détaché du NCIS (qui n'est pas qu'une série américaine mais bel et bien l'organisme chargé des enquêtes criminelles de la Navy !), son livre transpire la vision américaine, dont la doctrine se matérialise depuis le mois de mai. Les exemples pris traitent des thématiques et des problématiques récurrentes du point de vue américain : l'Arabie saoudite qui a élaboré un Firewall national à finalité religieuse (conformité avec les règles de l'Islam), des agents de la NSA qui jouent les attaquants lors d'un cyber-exercice en se faisant passer pour des...Nord-coréens. Puis enfin Moscou, la Chine, l'Iran (et Stuxnet) et la Corée du...Nord, encore ! Ces mots-clés revenant beaucoup tout au long de la première partie du livre.

Venons-en, tout de même, aux aspects intéressants voire passionnants de ce livre qui portent sur les stratégies possibles de mitigation des risques, pouvant se résumer ainsi : 
- IPv6 comme solution technique ? Réponse : le protocole solutionne bien une partie de la problématique mais soulève aussi de nouveaux problèmes.
- La cyber-dissuasion peut-elle empêcher ou interdire les cyber-attaques ?
- Le cyber-contrôle (comme pour les armes chimiques) avec les délicates notions de prohibition et d'inspections.
- Enfin, une tentative intéressante de transposition des principes de l'Art de la guerre de Sun Tzu au cyber-espace. Certains des principes peuvent s'appliquer, d'autres comportent des limitations, enfin une partie ne le sont pas du fait des spécificités de l'Internet comme champ de bataille (rapidement évolutif, topologie mouvante, innovations techniques, etc.).

La dernière partie du livre porte sur l'utilisation de la méthodologie DEMATEL qui a pour objet d'évaluer la pertinence des mitigations face aux risques relevés. La méthode permet la réduction des risques en terme d'influence directe et indirecte, avec une échelle de calcul assez simple. Grâce à cette méthodologie, la conclusion de ce livre est que la dissuasion, le contrôle ou l'Art de la guerre appliqués au cyber-espace ont une portée limitée. Seul le protocole IPv6 semble trouver grâce aux yeux de l'auteur puisque, d'après lui, il permet de réduire assez fortement l'anonymat qui est, pour le moment, le vrai talon d'Achille de la cyber-défense. N'étant pas spécialiste de l'IPv6, j'aimerai un avis d'expert sur le sujet : n'hésitez-pas à réagir et partager toute connaissance avérée sur le sujet !

Que dire de plus si ce n'est qu'il est dommage de constater ce "laisser-faire, laisser-aller" vers une cyber-défense européenne à la mode OTAN. Mais il est vrai qu'à force de construire des réponses nationales** à coup de déclarations d'intention "pressantes" ou de vagues coordinations, mêmes sincères, la cybersécurité made in Europe risque de n'être qu'une chimère de plus.

* "[...] l'impression que l'OTAN, au moins en cybersécurité, est une simple courroie de transmission des USA", déjà le mois dernier ou en novembre 2010 !

** derniers en date, les Pays-Bas (après le Royaume-Uni, la France ou l'Allemagne).

Aucun commentaire: