Alors que sur le Vieux Continent on cherche tant bien que mal à se positionner dans la lutte contre les cyber-menaces, les États-Unis et plus singulièrement le "DoD" (Department of Defense / Ministère de la Défense), communiquent à un autre niveau mais surtout progressent rapidement. J'y reviendrai dans un prochain billet.
Une première parenthèse : on peut même penser que les évolutions de la "Sainte Trinité" (doctrine / moyens / capacités) devancent la communication car aussi grands communicants soient-ils, l'avance technologique et/ou capacitaire et la protection du secret demeurent aussi l'une de leurs forces.
Une seconde parenthèse concerne une précision, liée à l'un des mes précédents billets abruptement (mais justement, je maintiens ma position !) intitulé "Oui-Oui et les cyber-menaces". Je me moquais gentiment de l'agence européenne pour la sécurité des réseaux et de l'information (ENISA) et de son homologue française, l'ANSSI. Ces deux entités, aux missions assez différentes mais complémentaires, souffrent de handicaps majeurs : pour l'ENISA c'est d'être une agence intégrée européenne avec ce que cela induit en terme de stratégie(s) et de décision(s). Depuis sa création, l'ambition initiale a vite été confrontée à la réalité : légitimité des agences nationales et des CERT, budgets modestes, objectifs vite revus à la baisse. Comme d'autres agences en leur temps, celle-ci devra à l'avenir trouver sa place parmi les dispositifs nationaux, sous peine de n'être qu'un nouveau "machin".
Pour l'ANSSI, c'est plus compliqué : feue la DCSSI possède une légitimité sur la scène nationale et au-delà, une expertise reconnue mais l'inconvénient majeur de n'avoir pas une taille critique. Les budgets sont certes en hausse et le nombre de postes ouverts a sensiblement augmenté ces dernières années mais tout cela n'en fait pas le fer de lance que la France, "cinquième puissance économique mondiale", est en droit d'attendre. D'autant plus qu'en Europe, elle est un acteur mais aussi une cible pour des menaces allant du terrorisme en passant par le renseignement économique et industriel. Et que les réseaux et les systèmes d'information sont au cœur de ces problématiques.
Est-ce que pour autant les dès sont jetés ? Nous pouvons le craindre, malheureusement. En particulier quand on sait que l'OTAN, lors de son dernier sommet, a placé la cybersécurité comme l'un des domaines d'importance que l'Alliance va devoir adresser.
Alors d'un côté, on peut laisser aller et se dire que conserver une petite agence au niveau national, intégrée dans un système otanien doté de moyens et de ressources plus importantes, est du bon sens. Surtout à l'heure où les économies sont partout annoncées.
D'un autre côté, certains décideurs (et leurs conseillers) ont-ils bien mesuré l'intérêt que la France (et certains de ses voisins européens) aurai(en)t à se lancer dans le train de la lutte contre les cyber menaces ? Car derrière ce qui peut paraître abscons et extrêmement virtuel, des emplois de haute-technicité et des nouveaux outils (concepts, méthodologies, technologies) sont à intégrer et à créer. Et ce savoir-faire pourrait être, en partie, exporté (donc vendu) par la suite.
A croire que l'adage "la sécurité est un coût, pas un investissement" demeurera inscrit encore longtemps dans le marbre !