ENISA : les pieds dans le tapis (de la souris)

On ne peut que se réjouir lorsqu'une agence comme l'ENISA souligne ses inquiétudes quant aux multiples faiblesses de l'Internet en général ("la jungle" de son infrastructure) et de ses défauts "génétiques" d'origine ("le gruyère" de ses multiples vulnérabilités - exploitables - de conception).

On se sent également moins seul dans la forêt :) lorsque le réseau des réseaux est abordé sous l'angle d'un moyen de communication devenu essentiel au commerce et, plus généralement aux activités humaines, et qu'il est de plus en plus soumis à une insécurité permanente et criminelle. Réseau dont il est salutaire de se préoccuper de sa capacité de résistance à fonctionner de manière dégradée (la fameuse résilience) afin de fournir les besoins essentiels de l'énergie, des transports, de l'économie et enfin du système de santé.

Il est bon, cependant, de s'interroger sans fausse naïveté sur ces dites inquiétudes lorsqu'elles portent aussi (et peut-être surtout ?) sur le déficit d'informations de la topologie (c'est ma traduction incertaine de "size and shape") d'Internet et de sa complexité technique liée à la multiplicité de ses couches (modèle ISO) et de ses protocoles.

Il devient peut-être également essentiel de se préoccuper de savoir pourquoi il faudrait un "centre d'opérations réseau central" qui lutterait contre les cyber-attaques et chercherait à établir des bonnes pratiques ? Surtout quand est souligné le côté décentralisé et ouvert ayant conduit à la création et au succès d'Internet ?!

L'ENISA recommande donc des mesures techniques (R&D dans les domaines de l'inter-routage, l'ingénierie du trafic et des flux, la redirection et la prioritisation), une réflexion sur les aspects légaux et juridiques et, bien-sûr, une amélioration des échanges internes à l'Union européenne et avec...les USA ("transatlantic relations") !

Enfin, l'agence européenne recommande de prendre comme socle commun le concept stratégique de cybersécurité en cours de développement au sein de l'OTAN. Ce qui, au passage, semble donner corps à mes interrogations et hypothèses ces derniers mois.

Que penser de tout cela ?

Primo que l'Union européenne confirme sa prise de conscience plutôt ancienne de la problématique insécurité dans le cyberespace et de ses possibles impacts dramatiques/désastreux dans la "vie réelle" en cas de crise ou de sinistre majeur. Il est d'ailleurs possible que des dissensions politiques internes à l'UE ou que de bien tristes considérations budgétaires n'en ont pas fait un sujet à traiter en priorité. Maintenant que l'actualité cybersécurité des derniers mois donne corps à un scénario prospectif de plus en plus anxiogène, il me semble que l'ENISA tente de donner le change (ou fait diversion ?) puisque l'OTAN s'est déjà emparée du sujet et le fait avancer dans la pénombre.

Secundo qu'il ne faut pas être nécessairement paranoïaque pour deviner qu'un contrôle total de l'Internet, via une surveillance efficace, séduit de nombreux décideurs. Qui, pensent-ils/elles à tort, régleraient du même coup cette problématique croissante.

Tertio, on nage de fait dans ces eaux troubles et orwelliennes qui me confortent dans une autre hypothèse prospective : dans une dizaine d'années, l'Internet que nous connaissons n'existera plus sous sa forme actuelle. Un ensemble de réseaux possiblement propriétaires  et à l'échelle "régionale" (au niveau planétaire s'entend) se sera développé. L'Internet initial redeviendra alors la Terra Incognita de ses débuts, ce gigantesque Far-West en devenir avec ses bons, ses brutes et ses méchants. Mais au moins, veaux, vaches et cochons seront bien gardés !

PS : un hommage appuyé et dans la même tonalité à ce billet de Sid et à cet article, point de départ de mes réflexions.
Edit : on lira avec intérêt le billet sur le même sujet de Rénald Boulestin sur ITExpresso.