3ème paquet Télécom, vie privée et ordre public

Adoptée le 24 août dernier en Conseil des Ministres et entrée en vigueur 2 jours plus tard, l'ordonnance de transposition dite du "3ème paquet Télécom" se prête à l'analyse tant juridique, que technique voire éthique. D'emblée, remarquons que si 7 années s'étaient écoulées entre le 1er (2002) et le 2ème paquet Télécom (2009), il aura fallu moins de 2 années pour transposer des directives européennes qui, de globalement, portent sur certaines améliorations substantielles. 

Outre le renforcement de la coopération au niveau communautaire, les objectifs des directives sont, principalement, les suivants :
- Renforcer l’indépendance et les pouvoirs des « autorités règlementaires nationales » (ARN) ;
- Renforcer la protection et les garanties accordées à l’ensemble des utilisateurs finaux ;
- Mieux gérer le spectre (des fréquences).

Je laisse volontairement le champ juridique de côté, des spécialistes ayant déjà présentés leurs analyses, pertinentes voire percutantes. Notons cependant que le rôle et les pouvoirs de l'Arcep sont renforcés, ce qui à l'heure d'interrogations récentes sur une fusion avec le CSA et surtout l'Hadopi mérite probablement une attention citoyenne attentive. 

Des avancées certaines...

Pour revenir à ce 3ème paquet Télécom, il y a donc bien des avancées et certaines retiennent davantage mon attention : l'obligation de l'opérateur à plus de neutralité (réseaux de nouvelle génération), une meilleure protection des consommateurs et surtout de ses données personnelles avec une possible extension de l'usage de moyens massifs de chiffrement côté opérateur, le tout probablement pour aider à démocratiser le Cloud (mais aussi le développer économiquement :), l'obligation de notifier toute "faille de sécurité", (Il faut d'ailleurs lire attentivement ce qu'en dit pertinemment O. Iteanu).

...et une (grosse) interrogation
On peut cependant s'interroger sur les revirements successifs en matière d'autorisations de brouillage. Formellement interdits puis autorisés, les dispositifs de brouillage sont de nouveau interdits et les utilisateur actuels ont 5 ans pour se conformer à cette obligation. L'importation, la commercialisation et l'utilisation de ces dispositifs deviennent strictes et les sanctions pénales renforcées. La mise en œuvre devient réservée à l'ordre public (police, défense, prisons) et sacrifie sans doute une utilité avérée dans certains cas (salles de spectacles) sur l'autel de la lutte contre le terrorisme et les actions illicites, qu'elles qu'en soient leur nature.

Au DHS, un jeu de chaises (très peu) musical

Début juillet, une petite bombe avait secoué la communauté du renseignement et de la cybersécurité aux Etats-Unis : le patron de l'US-CERT, Randy Vickers, avait été brutalement "démissionné" ! Ce changement, assurément politique, visait avant tout à faire tomber une tête après que des réseaux fédéraux (FBI) et militaires (Navy, CIA) avaient été mis à rude épreuve par les Anonymous et les Lulzsec.

L'été s'achevant à peine, le mercato d'automne continue au DHS et il fait suite au départ de Phil Reintinger, ancien ponte du DHS NPPD, qui s'est fait débaucher début septembre par Sony pour en devenir le monsieur Sécurité. Le sous-secrétaire d'Etat au DHS, Randi Beers, a semble-t-il annoncé en interne que le poste laissé vacant était scindé en deux : un poste uniquement dédié à la  Cybersécurité et dirigé par Greg Schaffer (en intérim) est créé, tandis qu'un autre, dirigé par Suzanne Spaulding, sera chargé spécifiquement de la protection des Infrastructures Critiques, de la sécurité des bâtiments fédéraux ainsi que  de la gestion du système biométrique d'identité et de suivi des visiteurs étrangers (programme US-VISIT). La liste des mouvements ne s'arrête pas là puisque vendredi dernier (23/09) , c'est Sean McGurk, le patron du DHS NCCIC, qui a quitté le navire ! Enfin, Nicole Dean devient la nouvelle directrice de la DHS NCSD.

Que faut-il retenir de tout cela ? Tout d'abord, que l'administration américaine demeure très pragmatique puisque, après s'être fait trouer nombre de leurs réseaux durant le 1er semestre, le tout en place publique (à double sens puisque les annonces médiatiques successives d'attaques servaient aussi leurs intérêts !), une reprise en main vient de s'effectuer. De fait, les personnes remplacées le sont par des professionnels des arcanes de la politique washingtonienne (plusieurs responsables sont d'anciens conseillers auprès de sénateurs voire du gouvernement) mais sont aussi très (mais vraiment très !)  proches des services de renseignement comme la CIA. Enfin, la partie stratégique et programmatique étant achevées (ou presque), la mise en cohérence avec une organisation efficace et pérenne est sans doute venue.

En ces temps incertains, la démarche démontre l'agilité mais aussi la volonté qui commande aux destinées des USA dans le cyberespace. Sans qu'il faille les prendre systématiquement en exemple, on ne peut écarter l'écart existant entre ici et là-bas. A l'heure où de gros boulets rouges volent dans le Landerneau cyber-frenchie, s'en inspirer ne serait pas une trahison intellectuelle !

Cybersécurité européenne : oui mais non !

Sans annonce excessive et dans une relative discrétion, l'Alliance atlantique est en train de franchir une étape supplémentaire dans la mission qui lui a été confiée dans le cyberespace. C'est sous l'impulsion du NC3A, l'une des agences les plus importantes de l'OTAN, que la MN Cyber Defence
Capability Development Initative (Initiative de Développement d'une Capacité Multinationale de Cyberdéfense) vient d'être lancée.

Une présentation détaillée est disponible ici mais, avant de revenir une prochaine fois sur le contenu de ce document, c'est un tout autre rapprochement que cette information provoque. Il s'agit d'une interrogation, dont ce blog se fait l'écho depuis le sommet de Lisbonne en novembre 2010, quant aux initiatives concernant la cybersécurité en Europe.

Une information, relayée par Cidris, concerne la création d'une nouvelle agence européenne, en complément de l'ENISA. Cette nouvelle agence, qui sera chargée de la gestion opérationnelle des Systèmes d'Information, devrait traiter en particulier du volet stratégique lié aux infrastructures critiques.

Il me semble que la tendance que j'anticipe depuis un moment soit en train de se confirmer puisque le siège de cette nouvelle agence se trouve à Tallinn. C'est aussi dans la capitale  de l'Estonie que se trouve, entre autre, le NCIRC qui n'est autre que le CERT de l'OTAN. Ou plutôt une sorte de CERT++ puisque doté de capacités offensives renforcées.

Faut-il y voir une incroyable coïncidence ? Évidemment non. Il va sans dire que la responsabilité de chacun des pays de l'Union européenne en matière de cybersécurité est en train de devenir discrètement consubstantielle à l'OTAN. Ce n'est pas forcément ni tout noir ni tout blanc puisque chaque gouvernement est parfaitement informé des enjeux et des implications d'un tel mouvement.

On peut cependant se poser trois questions simples :

1) Est-ce que chaque citoyen européen est (au moins) informé de ces évolutions avant  d'être entièrement mis devant le fait accompli ?

2) La nouvelle agence européenne disposera-t-elle de réels pouvoirs (voire contre-pouvoirs) ou sera-t-elle une simple chambre d'enregistrement ?

2) Est-il normal que les États-Unis disposent quasi-directement des leviers de défense et peut-être d'attaque concernant la cybersécurité européenne ? Autrement dit, n'y-a-t-il  pas un risque majeur d'une certaine perte de souveraineté ?

Si le non est majoritaire à ces trois questions, c'est qu'il y a comme un problème...

Cybersécurité : un accord signé entre les USA et l'Australie

En début d'été, l'Alliance Géostratégique publiait une réflexion intitulée "Australie, cybersécurité et enjeux mondiaux". J'y expliquais les liens forts et particuliers qui unissent le pays des kangourous aux États-Unis, insistant particulièrement sur le prolongement de certaines activités de la NSA via le DSD (chiffre [crypto] et "grandes oreilles" pour les deux).

De mon point de vue, la structuration de l'activité Cybersécurité, tant pour le volet défensif que le volet offensif, reflétait à l'instar du Royaume-Uni, la déclinaison de la stratégie US à travers une grande partie du monde (Europe, Pacifique). J'estimais d'ailleurs l'Australie comme un bon candidat en tant que "bras armé américain" dans le cyberespace.

L'accord signé la semaine dernière vient illustrer ces réflexions. Le cyberespace fait désormais partie du traité de défense mutuel entre les deux nations. De quoi, probablement, bien préparer la visite officielle de Barack Obama, prévue à la mi-novembre.

Manœuvres dans le cyberespace : la stratégie Cybersécurité des USA

Une fois de plus, l'Alliance Géostratégique me fait l'honneur d'accueillir une réflexion sur un sujet traité à différentes reprises sur ce blog ainsi que par ailleurs (chez CIDRIS et Lignes Stratégiques) : quelles intentions, réalités et manœuvres possiblement dilatoires la "nouvelle" stratégie de cybersécurité, initiée par l'administation Obama, recouvre?

L'article en question peut être lu et directement commenté sur le site d'AGS. Bonne lecture !

Entreprises : les conseils d'un (ex) hacker (2/2)

Ces dérives, postulées depuis plusieurs années et avérées au fil des derniers mois, concernent en particulier le sentiment de sécurité perçu par la direction (d'une entreprise) de son S.I. parce qu'existe une Politique de Sécurité, éventuellement une certification ISO 27001 (rare en France) et, la plupart du temps, une "bonne vieille infrastructure à la papa" avec DMZ "reverse-proxyfiée/firewallée", sondes (bon point) et passerelles anti-spam/anti-virus. 

Cette description caricaturale voire anachronique pourra peut-être faire sourire mais, pourtant, un certain conformisme angélisme régente encore trop souvent certaines DSI et/ou Directions. Et encore, je me garderai bien d'aborder  les délicates problématiques de l'outsourcing, le blog ami CIDRIS s'en chargeant parfaitement par ailleurs !

Mais puisque jusqu'ici tout allait bien, quelle pouvait être la raison  impérieuse de faire évoluer la vision, parfois éculée, de la sécurité : un centre de coût en lieu et place d'un investissement pour le présent et l'avenir ? Mais le temps technologique file également à toute allure et nous sommes en 2011. Les menaces ont profondément évolué ces derniers mois, elles sont devenues permanentes et protéiformes, avec de moins en moins en filigrane cette guerre économique globale anticipée puis vérifiée et enfin accélérée. 

Tous ces éléments se vérifient quotidiennement et ne sortent pas d'un énième rapport ou de fumeuses recherches universitaires où des têtes bien faites (et certains services étatiques, louons les tous !) entretiendraient des discussions de salon ou pousseraient des cris d'orfraies, bien loin d'une réalité que seuls certains  vaniteux décideurs maîtriseraient ?

Je me veux mordant et (légèrement ?) provocateur mais le monde, ces derniers mois, n'a pas évolué qu'à la télévision ou seulement du Maghreb à la côte est du Japon ! Changements brusques et accélération de l'histoire (catastrophes naturelles, évolutions politiques majeures, aléas économiques) portent en eux des effets qui se prolongent dans le cyberespace qui, lui aussi, possède la particularité de disposer de caractéristiques bivalentes : outils et armes sans distinction de protocole, seul l'usage tend à en indiquer la nature.

Plus clairement, le monde de l'entreprise a la fâcheuse (coupable ?) tendance d'utiliser des schémas et des recettes techniques (et parfois organisationnelles) qui sont de moins en moins adaptés aux menaces actuelles et émergentes. Les conseils délivrés par SparkyBlaze, issus de son expérience avérée et "(very) up to date" (à jour), impliquent sans aucun doute une profonde remise en cause de la stratégie* appliquée et des moyens mis en œuvre pour l'atteindre. Avec un investissement associé, plus ou moins important selon que l'on parle d'une TPE/PME ou d'une multinationale. Selon le secteurs d'activité et l'exposition aux risques, cet investissement se révélera probablement générateur d'économies à long terme. Pour les plus frileux, une bonne assurance peut aussi être le début d'une certaine sagesse...

Les conseils proposés par SparkyBlaze :

- Déployer une défense en profondeur

- Appliquer une politique stricte en matière de sécurité de l'information

- Faire des audits de sécurité réguliers par une expertise extérieure

- Utiliser des sondes IDS/IPS

- Sensibiliser vos dirigeants sur la sécurité de l'information

- Sensibiliser vos dirigeants sur l'ingénierie sociale

- Effectuer les mises à jour en temps et en heure (soft + hard)

- Disposer d'une veille sécurité quotidienne

- Laisser vos spécialistes se rendre à des conférences spécialisées en sécurité

- Embaucher des spécialistes qui connaissent réellement la sécurité

- Généraliser l'utilisation du chiffrement des données (avec de l'AES-256, par exemple)

- Utiliser efficacement des filtres/outils anti-spam

- Garder un œil sur les informations laissées dans le domaine public (nota : à mon sens, le tri est à effectuer en amont)

- S'assurer que la sécurité physique (des sites et des locaux) est au niveau requis (sur le principe du "pourquoi blinder la porte d'entrée tandis que la fenêtre du salon reste ouverte ? :)

* ce changement de paradigme doit nécessairement commencer par une douloureuse mais salutaire remise en cause de certains schémas (sclérosés) de pensée.  D'où la probable utopie de ce billet. Donc la moindre désillusion de son auteur !

Entreprises : les conseils d'un (ex) hacker (1/2)

2011 aura probablement marqué l'émergence des Anonymous sur la scène médiatique. J'ai beaucoup de mal à les qualifier de cyber-criminels ou, à l'opposé, de chevaliers blancs puisque leur objectif politique navigue entre utopie, hacktivisme, apolitisme (= hors partis traditionnels) et un petit côté Robin des bois numérique qui n'a pas pour but essentiel de renverser un système (economico-financier et politique) mais bien d'essayer de dénoncer certaines pratiques ou de les rendre plus transparentes. L'affaire HB Gary demeure d'ailleurs leur fait d'arme le plus intéressant, techniquement et de par les révélations produites.

Pour autant, des erreurs voire des errements ont aussi eu lieu et, après quelques mois d'observation, les autorités en charge de la lutte contre la cybercriminalité, particulièrement au Royaume-Uni et aux États-Unis ont décidé de combattre ce mouvement, plusieurs arrestations intervenant depuis le début d'année sans discontinuer depuis. Bien que ne comportant pas officiellement de leaders, les Anonymous ont su se reposer sur quelques figures charismatiques venant, pour l'essentiel, du hacking.

Ce milieu, underground par essence plus que par posture, reste extrêmement mystérieux pour le grand public mais aussi difficilement joignable par tout un chacun. Hormis quelques connectés dans le milieu de la recherche ou certains mouvements politiques (les libertaires/libertariens, par exemple), il n'y a que les forces de l'ordre (spécialisées) et la mise en œuvre de moyens (techniques et humains) conséquents pour les traquer et, souvent, les débusquer. Les journalistes, eux, ne semblent pas les bienvenus car partie intégrante du système décrit plus haut.

Aussi, est-il toujours intéressant et généralement utile d'écouter ou de lire ce qu'un ex-pilier de l'organisation comme SparkyBlaze recommande aux entreprises pour réduire les risques face à des tentatives de piratage. L'interview qui a inspiré ce billet comprend de nombreux autres éléments de valeur mais c'est ce point qui m'a semblé emblématique d'une certaine tendance. Tendance qui est à rapprocher avec l'analyse de Cédric "Sid" Blancher ,que je partage entièrement, quant à certaines dérives liées à la "mise en œuvre des certifications et autres audits de conformité".

Contrôler un sous-marin via le Cloud ? La DARPA y pense !

On aurait tort de penser que les rêves les plus fous ou les utopies les plus farfelues sont inatteignables. Parfois, la recherche, l'innovation et un certain dépassement des frontières* habituelles y parviennent, au grand dam de l'Humanité ou, à l'inverse, en contribuant à son bien-être général.

Il n'est pas dit que la DARPA, l'agence de la recherche dépendant du ministère de la Défense américaine, ait ce dernier objectif en tête, même si certaines de ses contributions ont pu bouleverser voire améliorer le quotidien des êtres humains ! Pour autant, il sera difficile de taxer cette agence de conformisme ou de suivisme. Au contraire, puisque sa mission première est de donner la supériorité militaire et technologique aux forces armées américaines, dans tous les domaines et quels qu'en soient les chemins. D'ailleurs, les idées "subversives" et "révolutionnaires" sont mêmes encouragées !

Ayant également investi le cyberespace depuis des années, certaines évolutions récentes lui font franchir un nouveau palier. De son point de vue, le cloud n'en est encore qu'à ses débuts pour les applications militaires embarquées et c'est dans ce cadre qu'elle travaille plus précisément sur les "military critical clouds". 

Des gains substantiels de temps et d'argent semblent pouvoir être faits entre le design, le développement, la production et la mise en service des systèmes. Pour revenir aux "idées révolutionnaires" évoquées plus haut, on passe de l'étonnement à la consternation lorsque l'on prend connaissance des applications visées par ce projet :
- Analyse de données ou d'applications;
- Traitement des données d'imagerie des drones;
- Contrôle d'un sous-marin...

Oui, vous avez bien lu, le contrôle d'un sous-marin ! Évidemment, c'est cette dernière application qui  a retenu mon attention jusqu'à en faire ce billet de rentrée. Souhaitons simplement que ledit sous-marin est de la catégorie des drones et aucunement un SNA ou, pire, un SNLE ! Connecter un tel engin via un réseau en nuage même "sécurisé" ne peut être qu'une hérésie où la bêtise le disputerait au mauvais goût. Une sorte de croisement entre le programme Skynet (Terminator) et la vision de Kubrik dans "Docteur Folamour" ! 

J'allais oublier : que celles et ceux qui seraient intéressé(e)s pour répondre aux sollicitations de la DARPA se dépêchent : ils ont jusqu'au 22 septembre ! :) 

* que ces frontières soient sociétales, psychologiques ou technologiques.

Ce billet s'inspire de cet article d'Information Week.

Pause estivale

Comme nombre de ses confrères, ce blog a commencé à prendre ses quartiers d'été et ne devrait reprendre son rythme de croisière qu'à compter de courant septembre. Après un rythme de publication élevé durant le premier semestre 2011, une pause est devenue nécessaire. Je ne disparaîtrai cependant pas complètement puisque des gazouillis continueront en micro-blogging sur mon compte Twitter.

Mon dernier travail d'avant vacances devrait être prochainement publié sur le site de l'Alliance Géostratégique. Il concernera une analyse complémentaire à celle effectuée par CIDRIS - Cyberwarfare sur la stratégie cybersécurité publiée le 14 juillet par le Pentagone. D'ici là je ne peux que souhaiter d'excellents congés à celles et ceux qui y sont et une bonne reprise à tous les autres.

Australie, cybersécurité et enjeux mondiaux sur AGS

L'Alliance GéoStratégique me fait l'honneur d'accueillir une réflexion autour du thème de la cybersécurité, plus précisément l'Australie et certains enjeux régionaux qui, pour certains, sont de portée...mondiale.

Il faut noter qu'en cette période estivale, où une partie de la population profite de congés généralement bien mérités,  AGS ne ferme pas ses portes. Les technologies étant ce qu'elles sont et nombre de Français n'ayant plus grand chose à envier aux Japonais (merci aux "Dieux" smartphone et wifi !), le tout vous laisse le loisir de consulter anciens et nouveaux articles, publiés régulièrement par ses membres ou des blogs associés, comme le mien. Bonne lecture !

Opérer dans le cyberespace : la stratégie du Pentagone

Une partie de la sphère connectée, attentive aux problématiques de cybersécurité, attendait avec une certaine impatience la déclinaison par le Pentagone de l'Executive Order du président Obama de mai dernier. C'est le 14 juillet, jour de fête Nationale en France, que le document de 13 pages a été publié. Il faut d'ailleurs noter qu'il s'agit d'une version "Tout public" et que le document complet n'est pas accessible au commun des mortels. On peut raisonnablement penser qu'il y aura quelques fuites, savamment orchestrées, dans les semaines et mois qui viennent.

La lecture de ce document sobrement intitulé "Department of Defense Strategy for Operating in Cyberspace" (Stratégie du Ministère de la Défense pour opérer dans le cyberespace) a suscité des commentaires et des analyses et j'aimerai y aller de mon couplet (l'analyse viendra dans un prochain billet, en cours de rédaction).

On relèvera, pour le moment, que la stratégie du Pentagone s'appuie sur cinq piliers, appelés "Initiatives Stratégiques", qui peuvent être traités indépendamment les uns des autres : 

- Initiative Stratégique n°1 : le cyberespace devient un domaine opérationnel à part entière au même titre que la terre, les océans, le ciel et l'espace. Il doit dorénavant être traité comme tel ("organisé, entraîné et équipé"). Je reviendrai ultérieurement sur ce point puisque, contradiction ou non, le secrétaire adjoint à la Défense (William J. Lynn III) nous explique le plus sérieusement du monde que la stratégie n'a pas pour but de militariser le cyberespace !

- Initiative Stratégique n°2 : employer (donc concevoir) de nouveaux concepts opératifs pour protéger les réseaux et systèmes de la Défense.

- Initiative Stratégique n°3 : établir des partenariats inter-agences (fédérales), avec les autres ministères et le secteur privé.
- Initiative Stratégique n°4 : Développer de solides relations avec les Alliés (OTAN et au-delà : Russie, Inde, Brésil ?) et des partenaires internationaux pour renforcer la cybersécurité collectivement. 
- Initiative Stratégique n°5 : utiliser la créativité et encourager la recherche pour développer rapidement des nouvelles technologies (la Silicon Valley est particulièrement évoquée). 

Cybersécurité : quelques chiffres clés (à manier avec précaution !)

2 milliards d'internautes .

250 000 scans ou tentatives de scan par heure sur les réseaux militaires US.

15 000 attaques informatiques par jour sur les réseaux fédéraux US.

1,8 millions d'attaques par mois sur les systèmes informatiques du Sénat ou des diverses agences gouvernementales US.

Les différentes attaques proviennent de 207 pays. 

Ces chiffres datent de 2010 et donnent le tournis. Assenés ainsi et sans une lecture un peu plus nuancée, il est aisé de croire que les USA sont soumis de manière aigüe et permanente à une guerre de l'information dont le monde entier serait l'ennemi !

Vision réductrice mais qui participe au storytelling et à la puissance de feu des communicants. C'est aussi ce qui fait la force des USA qui, lorsqu'ils décident de s'emparer d'un sujet, ne font ni semblant ni les choses à moitié.

Quoiqu'il en soit, faites l'expérience en allant consulter le journal d'événements de votre antivirus/pare-feu qui, l'un sans l'autre, ne servent pas à grand chose : vous serez stupéfaits par le nombre de tentatives d'attaques, majoritairement issues de botnets malveillants, avec des origines géographiques tellement variées que vous pourrez faire le tour de la Terre à bon compte. Et sans quitter le confortable siège de votre bureau !

Naissance de l'International Cyber Security Protection Alliance (ICSPA)

Le mardi 5 juillet 2011, naissait officiellement un joli bébé que ses parents ont décidé d'appeler ICSPA (International Cyber Security Protection Alliance). La démarche mérite d'être saluée mais la prudence est de mise !

L'ICSPA a pour objectif de développer des relations entre les gouvernements, les institutions, les entreprises et les différents services de police et de justice, en construisant une plate-forme d'échanges et de conseil autour des problématiques de cybersécurité. Elle a l'ambition d'améliorer les capacités internationales en terme de réponse criminelle (police, justice) afin de protéger les professionnels et les clients. Elle s'adresse à tous, y compris à la Chine, qui saluera sans doute l'initiative tout en partant dans un grand éclat de rire. Discrètement, bien-sûr ! :)

Patronnée par le gouvernement de sa Gracieuse Majesté, le comité de direction (le board) est dirigé par David Blunkett, homme politique britannique de premier plan. A ses côtés officient deux autres membres, passés par les arcanes de la Défense ou de l'administration, tout en exerçant dans le secteur privé depuis des années. En appoint, un conseiller spécial, Américain, spécialiste en cybersécurité. A noter les liens directs de ces personnes avec des services d'enquête qu'ils soient policiers ou militaires (enquêtes criminelles, renseignement et contre-terrorisme).

Maintenant, les partenaires industriels : Cassidian, filiale d'EADS qui portait encore récemment le nom de Defense and Security, une société d'intégration et de conseil Core Security Technologies, trois autres sociétés moins connues de ce côté-ci du Channel et enfin deux éditeurs d'envergure mondiale : McAfee et Trend Micro. Le budget, enfin, est abondé par les partenaires de l'Alliance qui espèrent une participation significative de l'Union européenne.

 

Voilà donc pour le côté désintéressé ("non-for-profit organisation") et international (des Anglais et un Américain) ! :) J'oublie cependant la touche Européenne puisque Europol fait également partie des parrains. On peut y voir la caution l'interface avec les services de police et d'enquête du Vieux Continent.

Si l'initiative est louable, dans le sens où je fais partie de ces personnes qui appellent depuis plusieurs mois à une meilleure coordination internationale et, surtout, l'établissement d'une politique commune européenne sur la cybersécurité, quelques éléments troublants obscurcissent l'horizon.

D'abord, cette Alliance semble toute droit sortie des initiatives encouragées par la politique américaine (et britannique) en la matière : développer un partenariat public/privé fort et moteur. Ensuite, baser cette Alliance à Londres avec un board et un conseiller spécial, tous anglo-saxons et ayant des accointances certaines avec la galaxie "renseignement", ne facilite pas forcément une offre de service à destination de certains pays européens, sensibles à ce sujet. Que dire, alors, de cette même proposition envers la Chine ?! Enfin, laisser entendre que cette organisation serait presque caritative (je caricature à peine !) alors que son fer de lance est constitué d'éditeurs ou d'industriels importants voire majeurs dans la Sécurité (ou qui cherchent à se renforcer) est assez surprenant.

L'initiative, cette semaine, du député belge François-Xavier de Donnea me semble davantage correspondre à ce que l'on est en droit d'attendre du continent européen, qui dispose d'une histoire et de valeurs susceptibles de transcender les intérêts partisans. L'un dans l'autre, on ne peut qu'être consterné par cette assemblage hétéroclite d'initiatives où l'on ne distingue plus vraiment ceux qui cherchent à œuvrer pour le bien de tous et les autres qui eux, sont dans un état d'esprit bien différent.

OTAN : Cyber Security Strategic (le livre)

Sans surprise aucune, l'OTAN vient de publier un livre intitulé "Cyber Security Strategic" qui risque de se révéler aussi que décevant que passionnant.

Décevant parce que le premier survol que je viens de faire du document confirme les craintes que ce blog souligne depuis plusieurs mois : la cybersécurité au niveau de l'Union européenne relève plus d'une douce utopie que d'une volonté politique (inexistante par ailleurs, sur ce sujet...comme tant d'autres ?) et c'est l'OTAN qui est chargée de donner la cadence, ce qui tombe bien, pour une organisation militaire ! Et qui dit OTAN dit les...USA*!

L'auteur, Kenneth Geers, est le représentant américain auprès du CCDCOE de Tallinn. Détaché du NCIS (qui n'est pas qu'une série américaine mais bel et bien l'organisme chargé des enquêtes criminelles de la Navy !), son livre transpire la vision américaine, dont la doctrine se matérialise depuis le mois de mai. Les exemples pris traitent des thématiques et des problématiques récurrentes du point de vue américain : l'Arabie saoudite qui a élaboré un Firewall national à finalité religieuse (conformité avec les règles de l'Islam), des agents de la NSA qui jouent les attaquants lors d'un cyber-exercice en se faisant passer pour des...Nord-coréens. Puis enfin Moscou, la Chine, l'Iran (et Stuxnet) et la Corée du...Nord, encore ! Ces mots-clés revenant beaucoup tout au long de la première partie du livre.

Venons-en, tout de même, aux aspects intéressants voire passionnants de ce livre qui portent sur les stratégies possibles de mitigation des risques, pouvant se résumer ainsi : 

- IPv6 comme solution technique ? Réponse : le protocole solutionne bien une partie de la problématique mais soulève aussi de nouveaux problèmes.

- La cyber-dissuasion peut-elle empêcher ou interdire les cyber-attaques ?

- Le cyber-contrôle (comme pour les armes chimiques) avec les délicates notions de prohibition et d'inspections.

- Enfin, une tentative intéressante de transposition des principes de l'Art de la guerre de Sun Tzu au cyber-espace. Certains des principes peuvent s'appliquer, d'autres comportent des limitations, enfin une partie ne le sont pas du fait des spécificités de l'Internet comme champ de bataille (rapidement évolutif, topologie mouvante, innovations techniques, etc.).

La dernière partie du livre porte sur l'utilisation de la méthodologie DEMATEL qui a pour objet d'évaluer la pertinence des mitigations face aux risques relevés. La méthode permet la réduction des risques en terme d'influence directe et indirecte, avec une échelle de calcul assez simple. Grâce à cette méthodologie, la conclusion de ce livre est que la dissuasion, le contrôle ou l'Art de la guerre appliqués au cyber-espace ont une portée limitée. Seul le protocole IPv6 semble trouver grâce aux yeux de l'auteur puisque, d'après lui, il permet de réduire assez fortement l'anonymat qui est, pour le moment, le vrai talon d'Achille de la cyber-défense. N'étant pas spécialiste de l'IPv6, j'aimerai un avis d'expert sur le sujet : n'hésitez-pas à réagir et partager toute connaissance avérée sur le sujet !

Que dire de plus si ce n'est qu'il est dommage de constater ce "laisser-faire, laisser-aller" vers une cyber-défense européenne à la mode OTAN. Mais il est vrai qu'à force de construire des réponses nationales** à coup de déclarations d'intention "pressantes" ou de vagues coordinations, mêmes sincères, la cybersécurité made in Europe risque de n'être qu'une chimère de plus.

* "[...] l'impression que l'OTAN, au moins en cybersécurité, est une simple courroie de transmission des USA", déjà le mois dernier ou en novembre 2010 !

** derniers en date, les Pays-Bas (après le Royaume-Uni, la France ou l'Allemagne).

Le pactole des cyber-assurances

Ce qui pourrait presque faire sourire est en train de devenir un énorme business : de plus en plus d'entreprises chercheraient à souscrire des contrats d'assurance spécifiques afin de se couvrir contre les cyber-risques !

Sénat américain, CIA, FMI, Lockheed Martin, Citigroup, Google, Sony. Cette liste, non-exhaustive, des institutions et des entreprises internationales touchées ces dernières semaines par des intrusions informatiques a conduit à une perte en intégrité ou en confidentialité de certaines de leurs données. Au-delà de l'impact conséquent en terme d'image de marque pour les victimes, c'est aussi et surtout les coûts financiers, directs et indirects, de cette "flibusterie" des temps modernes, qui les fait se tourner vers les assureurs : atteinte à l'image de marque, perte de confiance en la marque, coûts de la perte ou du vol des données, possibles procès par des clients.

La liste des impacts peut vite s'alourdir et traumatiser réellement l'entreprise visée. Sony, par exemple, au-delà de l'énormité du coût estimé (presque 13,5 milliards de $ !), connaîtra dorénavant un "avant" et un "après" Lulzsec,  intériorisé (psychologie des dirigeants, des salariés et des consommateurs) donc difficilement mesurable. Et pourtant bien réel.

Les assureurs ont, ces dernières semaines, noté un afflux de demandes d'information, sachant qu'il n'existe pas (encore) de standard ou de cadre normatif en cyber-assurance. La tendance existe cependant, puisque l'un des volets des mesures en cybersécurité, prises le mois dernier par l'administration Obama, a pour objet de faire converger le législatif vers quelque chose de moins décousu (et non pas des dizaines d'amendements comme c'est le cas actuellement). L'adoption d'un cadre législatif cohérent devrait accélérer son utilisation juridique, particulièrement dans le monde de l'assurance.

La partie normative est donc l'un des vecteurs essentiels, partagée entre le NIST et les recommandations issues du DHS voire du CyberCom. Le DHS, avec le SANS, vient d'ailleurs de dévoiler une méthodologie de scoring logicielle (vulnérabilités et bonnes pratiques des développements). Ne manque plus qu'un travail en commun avec le NIST pour élaborer un guide spécifique ou, du moins, énoncer les bonnes pratiques à adopter : identification et classification des Assets (au sens IT), analyse(s) de risques, couverture des risques et risques résiduels, déclinaison (politiques et dispositifs mis en œuvre), formation du personnel, mesures particulières, etc. Le tout devant permettre de déterminer assez finement une classification finale, pourquoi pas sur le principe de l'étiquette-énergie, donc d'une grille de tarifs modulables.

Il y a donc là tout un pan à construire, au confluent de la technique, du législatif, du juridique et de l'évaluation des risques. Gageons que les géants de l'assurance ont flairé le filon et élaborent de juteux contrats qui ne vont pas tarder à être proposés sur le marché. L'article Reuters, d'où est issue cette réflexion, estime d'ailleurs ce marché à plusieurs centaines de millions de $ !