jeudi 4 mars 2010

Publication de la Comprehensive National Cybersecurity Initiative

EDIT : Un analyste a confirmé, dans un article, ce que laissait penser une telle divulgation : elle n'est que partielle et plusieurs éléments restent sous le sceau de la confidentialité.

Source : http://gcn.com/Articles/2010/03/08/CNCI-assessment-030810.aspx?Page=1


Les mandats successifs du Président BUSH auront marqué l'évolution de l'Internet, sa gouvernance, de ses fortes tendances sécuritaires. Ainsi, on se souvient de la création de la Comprehensive National Cybersecurity Initiative.

Ces documents, prévoyant des éléments stratégiques visant à protéger les infrastructures numériques de la nation, aurait été faits à l'instigation de l'Amiral Mc Connel (cité dans un post précédent) selon Wired.

De cette création, on a retenu deux aspects :

=> l'enrichissement de directives déjà créés par le Président CLINTON et l'ajout d'une dimension sécuritaire supplémentaire

=> la "pose" d'un sceau de confidentialité sur le document.

Ces directives, d'après ce que l'on pouvait en savoir, prévoyait d'ailleurs la sécurisation à haut-niveau du "master root" des serveurs racines du DNS ainsi que les modalités de gestion.

Par ailleurs, on pensait alors que ces dispositions avait fait disparaitre tous les éléments du contrat liant Verisign aux départements du commerce américain pour la gestion dudit serveur racine.

L'arrivée du Président OBAMA a déclenché un véritable engouement pour la cybersécurité, engouement se traduisant par un marché d'une importance considérable. Plusieurs analystes (dont Wired) ont d'ailleurs dénoncé cet opportunisme qui a amené tous les grands prestataires de la défense américaine (Raytheon, Boeing, Lockhedd) à proposer de telles offres.

Mais ces évolutions ont également apporté leur lot de réorganisations de la fonction militaire et la mise en place d'un coordinateur auprès du Président. Ce dernier, Howard Schmidt, est d'ailleurs à l'origine de la diffusion de la CNCI qui nous occupe ici.

Le document comprend 12 initiatives dont certaines sont directement reliées au management des infrastructures critiques tandis que d'autres sont liées à la surveillance des réseaux (programme EINSTEIN 2 & 3). La liste exhaustive est :

# Manage the federal enterprise network as a single network enterprise with Trusted Internet Connections to reduce access points to and from the Internet.

# Deploy an intrusion detection system of sensors, known as Einstein 2, across the federal enterprise.

# Pursue deployment of intrusion prevention systems, Einstein 3, across the federal enterprise.

# Coordinate and redirect cybersecurity research and development efforts.

# Connect current cyber ops centers to enhance situational awareness.

# Develop and implement a government-wide cyber counterintelligence plan.

# Increase the security of our classified networks.

# Expand cyber education.


Si la publication de la stratégie envisagée par l'administration Bush est effectivement un pas en avant d'importance, elle ne permet pas de savoir plus précisément quelles ont été les actions entreprises à la suite de cette impulsion.

Notons cependant que ce type d'initiative n'est pas sans rappeler les Directives Nationales de Sécurité prises en France dont on connait le décret qui les prévoit - décret SAIV sur les infrastructures vitales - mais dont le contenu précis de chacune des directives reste inconnu.

Par ailleurs, l'ensemble des plans dits "Pirate" : Vigipirate, Piranet..ne sont pas connus de l'ensemble de la population, ce qui garantit aussi une certaine efficacité.

La liste et le contenu apparent de ces directives sont également très liés à la question de la gouvernance et l'on situe très bien les items qui pourraient concerner le master root. Espérons que le temps nous permettre d'en savoir plus !

Sources :

http://fcw.com/Articles/2010/03/02/RSA-CNCI-declassified.aspx?Page=1


http://www.whitehouse.gov/cybersecurity/comprehensive-national-cybersecurity-initiative


http://www.govinfosecurity.com/articles.php?art_id=2257

Aucun commentaire:

Enregistrer un commentaire