A son tour donc, l'Allemagne publie sa stratégie de cyber-sécurité ! N'étant pas un familier de la langue de Goethe, j'ai profité de sa traduction en anglais pour la lire. Cette traduction est intéressante et je note, à mon grand dam, que nous n'avons pas fait le même effort...
Le document se veut relativement court également mais donne d'emblée le ton en nous proposant une définition du cyberespace et en intégrant la question des infrastructures critiques.
"Cyberspace includes all information infrastructures accessible via the Internet beyond all territorial boundaries".
La fin du document propose également quelques définitions intéressantes (non entièrement reproduites ici) :
- Cyberspace is the virtual space of all IT systems linked at data level on a global scale. IT systems in an isolated virtual space are not part of cyberspace. Bien évidemment, le dernier point est surprenant et pas forcément partagé.
- Les cyber-attaques sont les attaques contre les critères de sécurité classiques : DIC. En cas d'attaque sur la confidentialité, ils parleront de "cyber-espionnage" et lorsqu'il s'agit d'intégrité ou de disponibilité, ce sera "cyber-sabotage".
- Logiquement, la cyber-sécurité est l'état dans lequel les risques ont été réduits de manière à retrouver un état acceptable. Le partage des tâches est également logiquement appliqué : aux militaires, les systèmes militaires, aux civils, les systèmes civils.
On note aussi la reconnaissance indirecte du caractère critique d'Internet dés le début de ce document puisqu'il est considéré que l'Etat, les entreprises, les citoyens, l'économie et les infrastructures vitales reposent sur les technologies de la communication ET Internet.
Très surprenante est la phrase suivante : "Cyber attacks are launched both from Germany and abroad" qui contient tout entier l'essentiel de l'analyse de la menace. Si l'Allemagne ne fait pas mystère de la hausse du nombre d'attaques et de leur complexité croissante, reconnaître que certains systèmes relevant de la responsabilité légale d'un particulier ou d'une organisation du pays (autrement dit, une machine "appartenant" à l'Allemagne) puissent être des attaquants est réellement nouveau.
Bien évidemment, on saisit bien que l'idée qui se dissimule ici est celle de l'absence de force des frontières au sein du numérique, le caractère profondément transnational de certaines attaques et la difficulté à déterminer les sources...Un problème classique mais rarement mis en valeur de cette manière.
La suite de l'analyse n'apporte pas de nouveautés particulière : elle reconnait les grandes catégories des assaillants et perturbateurs et fait référence au fait que les infrastructures sont désormais des cibles avec l'exemple de Stuxnet.
Reconnaissant le caractère indispensable de la coopération internationale, on trouve également une série de principes soutenant le concept de cyber-sécurité dans la vision allemande. En particulier, on note des références à une approche très "SSI", c'est-à-dire "Disponibilité, Intégrité et Confidentialité" de la cyber-sécurité. A cela s'ajoute la protection des droits et libertés des citoyens, un thème que l'on avait déjà vu dans le document hollandais.
L'armée allemande est citée comme une des organisations supportant la stratégie de cyber-sécurité sans beaucoup de précisions toutefois.
Viennent ensuite les 10 points particuliers à cette stratégie :
1 : Protéger les infrastructures critiques. A cet égard, la définition donnée en fin de document est intéressante car proche de la nôtre. Toutefois, les secteurs retenus pour entrer dans cette catégorie sont uniquement : Energie, Transports et Télé-communications. Soit la stratégie ne révèle pas tout, soit l'approche allemande en la matière est moins mature que la nôtre avec le décret SAIV et les 13 secteurs identifiés. Toutefois, l'approche allemande donne toute son importance au partenariat public-privé.
2 : Sécuriser les systèmes allemands en profitant de l'expertise privée également et à l'aide d'une "task force" dédiée à la sécurité au sein du Ministère de l'Économie et des Technologies.
3: Améliorer la sécurité des SI au sein des systèmes publics. L'intérêt ici est de noter qu'une telle proposition se conçoit différemment en Allemagne en raison du caractère fédéral qui oblige justement à impulser au niveau central de telles mesures pour en assurer le respect dans tous les Länder.
4: Il est prévu la création d'un National Cyber Response Centre, organisme chargé d'optimiser l'organisation et les réactions. Le nombre et la diversité des organisations avec qui ce centre devra coopérer est impressionnant : Federal Office for Information Security (BSI), Police, Renseignement, Sécurité intérieure, Armée...Il sera un peu l'équivalent de notre CERTA avec une différence majeure, c'est qu'en France, les armées disposent de structures propres.
5: National Cyber Security Council : cet organisme représente la version "top-level"de l'organisation précédente. Il a pour but de rassembler tous les acteurs et les représentants des
ministères et des régions allemandes.
6: Meilleur contrôle et répression de la cybercriminalité
7: Coopération internationale afin d'assurer l'élévation du niveau de "cyber-sécurité". Sont cités : le Conseil de l'Europe, l'OCDE, l'ONU mais également le G8 à propos duquel l'Allemagne révèle être en train de travailler sur l'augmentation des mesures anti-botnets.
8: Utiliser des technologies de confiance : il s'agit ici de disposer d'une base technologique suffisante pour garantir le respect de la souveraineté dans tous les domaines. Je l'ai évoqué dans un article précédent.
9 et 10 : Développer les compétences et les ressources dans les organisations dédiées à la sécurité afin d'assurer la réussite de leur mission.
En conclusion, je retiendrais 4 points :
- l'approche de l'Allemagne est réellement très orientée Sécurité des Systèmes d'Informations au sens classique. La référence aux risques acceptables et les multiples références aux critères classiques de sécurité en font foi. C'est une approche un peu déroutante car elle parait décalée alors qu'il semble que les autres documents aient apporté une certaine originalité. Cet effort d'imagination pourrait être dû, selon moi, au fait que la "cyber-sécurité" serait une question un peu plus complexe que la "simple" SSI...ou du moins différente !
- Les éléments intéressants, pour moi, sont contenus dans l'organisation très "coopérative" proposée par cette stratégie qui peut être source d'enseignements.
- D'un autre côté, l'Allemagne semble un peu délaisser les aspects militaire à proprement parler et semble avoir une approche moins mature que la nôtre en matière d'infrastructures vitales. Il est ici réjouissant de constater que notre approche est loin d'être la plus simple et que nous sommes particulièrement avancés sur certains points.
Toutefois, ce que ne dit pas cette stratégie, c'est que l'Allemagne dispose déjà d'organisations, comme le BSI, plutôt efficace en matière de sécurité. Par ailleurs, le domaine de tête allemand (.de) est le 3ème plus grand domaine Internet après le .com et juste derrière le .cn (chine). A noter d'ailleurs que le .cn et le .de sont très très proches et possèdent chacun plus de 13 millions d'enregistrements...
L'Allemagne n'est donc pas un pays "novice" de l'Internet, tout au contraire, et on en trouve des preuves également dans les questions de sécurité qui ont agité le pays : la capacité à écouter les conversations chiffrées par Skype ou encore la possibilité d'introduire des virus de type "Cheval de Troie" dans les ordinateurs de suspects poursuivis par la Police...Reste toutefois que le "passage à l'échelle stratégique" ne parait pas aussi bon que le reste.
Source :
http://kingsofwar.org.uk/2011/03/germanys-cyber-security-strategy/comment-page-1/
Le document se veut relativement court également mais donne d'emblée le ton en nous proposant une définition du cyberespace et en intégrant la question des infrastructures critiques.
"Cyberspace includes all information infrastructures accessible via the Internet beyond all territorial boundaries".
La fin du document propose également quelques définitions intéressantes (non entièrement reproduites ici) :
- Cyberspace is the virtual space of all IT systems linked at data level on a global scale. IT systems in an isolated virtual space are not part of cyberspace. Bien évidemment, le dernier point est surprenant et pas forcément partagé.
- Les cyber-attaques sont les attaques contre les critères de sécurité classiques : DIC. En cas d'attaque sur la confidentialité, ils parleront de "cyber-espionnage" et lorsqu'il s'agit d'intégrité ou de disponibilité, ce sera "cyber-sabotage".
- Logiquement, la cyber-sécurité est l'état dans lequel les risques ont été réduits de manière à retrouver un état acceptable. Le partage des tâches est également logiquement appliqué : aux militaires, les systèmes militaires, aux civils, les systèmes civils.
On note aussi la reconnaissance indirecte du caractère critique d'Internet dés le début de ce document puisqu'il est considéré que l'Etat, les entreprises, les citoyens, l'économie et les infrastructures vitales reposent sur les technologies de la communication ET Internet.
Très surprenante est la phrase suivante : "Cyber attacks are launched both from Germany and abroad" qui contient tout entier l'essentiel de l'analyse de la menace. Si l'Allemagne ne fait pas mystère de la hausse du nombre d'attaques et de leur complexité croissante, reconnaître que certains systèmes relevant de la responsabilité légale d'un particulier ou d'une organisation du pays (autrement dit, une machine "appartenant" à l'Allemagne) puissent être des attaquants est réellement nouveau.
Bien évidemment, on saisit bien que l'idée qui se dissimule ici est celle de l'absence de force des frontières au sein du numérique, le caractère profondément transnational de certaines attaques et la difficulté à déterminer les sources...Un problème classique mais rarement mis en valeur de cette manière.
La suite de l'analyse n'apporte pas de nouveautés particulière : elle reconnait les grandes catégories des assaillants et perturbateurs et fait référence au fait que les infrastructures sont désormais des cibles avec l'exemple de Stuxnet.
Reconnaissant le caractère indispensable de la coopération internationale, on trouve également une série de principes soutenant le concept de cyber-sécurité dans la vision allemande. En particulier, on note des références à une approche très "SSI", c'est-à-dire "Disponibilité, Intégrité et Confidentialité" de la cyber-sécurité. A cela s'ajoute la protection des droits et libertés des citoyens, un thème que l'on avait déjà vu dans le document hollandais.
L'armée allemande est citée comme une des organisations supportant la stratégie de cyber-sécurité sans beaucoup de précisions toutefois.
Viennent ensuite les 10 points particuliers à cette stratégie :
1 : Protéger les infrastructures critiques. A cet égard, la définition donnée en fin de document est intéressante car proche de la nôtre. Toutefois, les secteurs retenus pour entrer dans cette catégorie sont uniquement : Energie, Transports et Télé-communications. Soit la stratégie ne révèle pas tout, soit l'approche allemande en la matière est moins mature que la nôtre avec le décret SAIV et les 13 secteurs identifiés. Toutefois, l'approche allemande donne toute son importance au partenariat public-privé.
2 : Sécuriser les systèmes allemands en profitant de l'expertise privée également et à l'aide d'une "task force" dédiée à la sécurité au sein du Ministère de l'Économie et des Technologies.
3: Améliorer la sécurité des SI au sein des systèmes publics. L'intérêt ici est de noter qu'une telle proposition se conçoit différemment en Allemagne en raison du caractère fédéral qui oblige justement à impulser au niveau central de telles mesures pour en assurer le respect dans tous les Länder.
4: Il est prévu la création d'un National Cyber Response Centre, organisme chargé d'optimiser l'organisation et les réactions. Le nombre et la diversité des organisations avec qui ce centre devra coopérer est impressionnant : Federal Office for Information Security (BSI), Police, Renseignement, Sécurité intérieure, Armée...Il sera un peu l'équivalent de notre CERTA avec une différence majeure, c'est qu'en France, les armées disposent de structures propres.
5: National Cyber Security Council : cet organisme représente la version "top-level"de l'organisation précédente. Il a pour but de rassembler tous les acteurs et les représentants des
ministères et des régions allemandes.
6: Meilleur contrôle et répression de la cybercriminalité
7: Coopération internationale afin d'assurer l'élévation du niveau de "cyber-sécurité". Sont cités : le Conseil de l'Europe, l'OCDE, l'ONU mais également le G8 à propos duquel l'Allemagne révèle être en train de travailler sur l'augmentation des mesures anti-botnets.
8: Utiliser des technologies de confiance : il s'agit ici de disposer d'une base technologique suffisante pour garantir le respect de la souveraineté dans tous les domaines. Je l'ai évoqué dans un article précédent.
9 et 10 : Développer les compétences et les ressources dans les organisations dédiées à la sécurité afin d'assurer la réussite de leur mission.
En conclusion, je retiendrais 4 points :
- l'approche de l'Allemagne est réellement très orientée Sécurité des Systèmes d'Informations au sens classique. La référence aux risques acceptables et les multiples références aux critères classiques de sécurité en font foi. C'est une approche un peu déroutante car elle parait décalée alors qu'il semble que les autres documents aient apporté une certaine originalité. Cet effort d'imagination pourrait être dû, selon moi, au fait que la "cyber-sécurité" serait une question un peu plus complexe que la "simple" SSI...ou du moins différente !
- Les éléments intéressants, pour moi, sont contenus dans l'organisation très "coopérative" proposée par cette stratégie qui peut être source d'enseignements.
- D'un autre côté, l'Allemagne semble un peu délaisser les aspects militaire à proprement parler et semble avoir une approche moins mature que la nôtre en matière d'infrastructures vitales. Il est ici réjouissant de constater que notre approche est loin d'être la plus simple et que nous sommes particulièrement avancés sur certains points.
Toutefois, ce que ne dit pas cette stratégie, c'est que l'Allemagne dispose déjà d'organisations, comme le BSI, plutôt efficace en matière de sécurité. Par ailleurs, le domaine de tête allemand (.de) est le 3ème plus grand domaine Internet après le .com et juste derrière le .cn (chine). A noter d'ailleurs que le .cn et le .de sont très très proches et possèdent chacun plus de 13 millions d'enregistrements...
L'Allemagne n'est donc pas un pays "novice" de l'Internet, tout au contraire, et on en trouve des preuves également dans les questions de sécurité qui ont agité le pays : la capacité à écouter les conversations chiffrées par Skype ou encore la possibilité d'introduire des virus de type "Cheval de Troie" dans les ordinateurs de suspects poursuivis par la Police...Reste toutefois que le "passage à l'échelle stratégique" ne parait pas aussi bon que le reste.
Source :
http://kingsofwar.org.uk/2011/03/germanys-cyber-security-strategy/comment-page-1/
Aucun commentaire:
Enregistrer un commentaire