Il ne faut pas compter sur le hasard ou une merveilleuse coïncidence que d'apprendre que le DoD (U.S. Department of Defense - Ministère américain de la Défense), quelques jours après le DHS, annonce l'activation d'un système de défense cybernétique analogue à celui que le DHS aimerait activer prochainement (lire mon billet sur le sujet). C'est le patron du Cyber Command (et de la NSA), le général Keith Alexander, qui est passé devant la sous-commission de la Chambre des Représentants chargée des menaces émergentes et des réponses capacitaires (Ouf !).
Au passage, on y apprend qu'un budget est aussi demandé pour faire du SaaS, en mode forcément ultra-protégé, probablement pour des histoires de coûts d'infrastructure et d'efforts portés vers d'autres activités en période de contraintes budgétaires.
Le système parent d'Einstein 3 va faire l'objet d'un test prévu sur 90 jours et, d'après ce que l'on peut extrapoler, ce système militaire (par opposition au système fédéral), s'appuie également sur des sous-traitants de la Défense et des FAI. C'est une originalité qui permet d'estimer que ce système sera bien plus puissant en terme de détection et de traitement des attaques car plus dans la profondeur et dans une philosophie typiquement réseau centrée. Les capteurs sont mathématiquement plus nombreux et l'on peut poser l'hypothèse assez sérieuse que l'on entre davantage dans un schéma de défense en profondeur avec les FAI en première ligne de défense (détection) avec, éventuellement, des dispositifs intermédiaires en coupure permettant de ralentir l'attaque ainsi détectée, le temps de protéger efficacement les systèmes critiques (en supprimant les liens indirects entre ces systèmes et l'Internet).
Cette approche collaborative entre les militaires et le secteur privé est une piste qui pourrait (devrait) être explorée en Europe et en particulier en France, sachant que du point de vue législatif, la France possède un coup d'avance depuis la parution du décret du 11 février au profit de l'ANSSI. Ce point est important puisqu'il permettrait aux Américains de légitimer juridiquement (donc de se protéger de plaintes éventuelles) une coordination entre des entités voire des juridictions extrêmement différentes (et bien séparées légalement, justement) : le ministère de la Défense, le DHS et le secteur privé. Qui ne se contenteraient plus de réagir après coup mais bien durant - ou aux premiers signes - d'une cyber-attaque.
C'est dans ce sens que la Maison Blanche semble travailler et pourrait prochainement proposer les modifications législatives adéquates. Les incidences de considérer les menaces durant leur survenance (ou les présomptions de réalisation) en termes techniques, organisationnels et juridiques sont passionnantes mais complexes. Elles mériteront une attention particulière dans le futur, sur ce blog ou ailleurs.
Edit : je souligne le billet du jour connexe au sujet sur le blog de Cidris.
Edit : je souligne le billet du jour connexe au sujet sur le blog de Cidris.
