mardi 5 avril 2011

Commission Européenne et CIIP

Bien que publié un 1er Avril, le rapport de la Commission Européenne qui s'intéresse à l'augmentation globale du niveau de sécurité des CIIP - Critical Information Infrastructure Protection - fournit quelques éléments intéressants.

Dans sa communication bien structurée, la Commission Européenne rappelle que plusieurs actions ont déjà été prises pour améliorer le niveau de sécurité ou, en bref, la cybersécurité. En particulier, une décision de la commission datant de Mars 2009 a lancé le développement et la mise en place de ce plan de protection des CIIP (dont Internet est une partie importante). En Septembre 2010, la Commission proposait également une rénovation de la structure et de l'agence chargée, pour l'Europe, de la sécurité des systèmes d'informations.

Bien que parfois critiquée pour son manque d'envergure, l'ENISA a publié récemment plusieurs rapports intéressants et pris part à l'exercice pan-européen de lutte informatique en 2010.

Ce nouveau rapport fait donc le point sur les actions prises par les différents états-membres et proposent de nouvelles voies que je vous propose de découvrir ici, assorties bien évidemment d'une analyse personnelle des choses.

Dressant tout d'abord un contexte d'action comme il est d'usage en pareil cas, le document met en exergue la "dimension géopolitique planétaire" des attaques informatiques. Cette assertion laisse un peu dubitatif et plus encore lorsque, quelques lignes plus loin, apparaissent les termes de "cyberguerre" et de "cyberterrorisme", termes mal définis s'il en est et qui ne contiennent aucune réalité tangible pour le moment...

S'ensuit une classification des types d'attaques, par finalité mais excluant toute référence à une notion de motivation, pourtant plus parlante dans une analyse de sécurité de haut-niveau, à vocation stratégique (c'est une opinion). On constate en fait à la fois le souhait d'établir une parenté avec l'approche SSI et les critères DIC tout en tentant de coller à la réalité des faits :

=> exploitation : les actions de type espionnage ou renseignement agressif, du vol d'identité ou de numéros de carte bleus à l'exploitation de renseignements d'origine gouvernementaux.

=> perturbation : Stuxnet, Mariposa...

=> destruction : scénario non concrétisé...sic

Je reproduis ici les "points saillants" de l'avancement des travaux :

- Préparation et Prévention : multiplication des échanges entre états membres notamment au niveau des CERTs et des autorités qualifiées en la matière. Plus intéressant sont les deux initiatives suivantes :

- EP3R : Partenariat public-privé européen pour la résilience. Conduit par l'ENISA, il a pour vocation de permettre aux acteurs privés et publics en Europe de se concerter pour assurer la résilience des CIIP.

- SEPIA / base minimale de capacités et de services : il s'agit d'assurer un réseau de coordination des CERT pour l'ensemble des acteurs avec une attention particulière portée aux PME. SEPIA, dans ce cadre, constitue un réseau d'alertes et de partage d'informations, une capacité intéressante qui parait tout à fait adaptée au caractère profondément transnational de nombreuses CIIP. Ce réseau devrait être opérationnel d'ici à 2012 et devrait également voir la création d'un CERT au niveau européen.

- A la suite de l'exercice Cyber Europe menée en 2010, la Commission a évalué à 12 le nombre d'Etats membres ayant procédé à la conduite d'exercices de crise informatique d'envergure nationale. L'ENISA a rédigé un guide pour la mise en place de ce genre d'exercices. Des exercices d'envergure européenne devraient être menés à nouveau et devrait s'accompagner de la rédaction d'un plan de secours européen en cas de crise informatique de niveau équivalent.

- 2012/2013 devrait également voir d'éventuels exercices de grande envergure en coopération avec les Etats-Unis.

- le dernier point serait peut-être celui que je critiquerai le plus. En effet, il développe la nécessité d'une coopération internationale pour préserver et développer la résilience de l'Internet. Mon principal point de désaccord porte sur la liste des organisations retenues comme pertinentes pour ce développement :

- EP3R : indispensable car sans les opérateurs, plus d'Internet

- G8, OCDE : cohérent et logique quoique le G8 me laisse un peu perplexe contrairement à l'OCDE dont le développement et la coopération sont les missions phrases.

- OTAN : j'avoue que je ne comprends pas trop. La résilience d'Internet est pour moi une question économique, de développement, technique et de gestion d'une myriade d'acteurs complexes. Ce n'est pas forcément une question de défense...

- UIT : obligatoire mais dans le cadre de ses obligations strictes et non le renforcement en matière de cybersécurité comme le document le mentionne

- ASEAN, OSCE : le premier est cohérent car sa mission n'est pas sans lien avec celles de l'OCDE mais l'OSCE me pose le même problème que l'OTAN.

Au-delà de ces organisations dont la participation de certaines provoquent des organisations, on s'étonnera du peu de référence aux organisations de la Gouvernance Internet. Si l'on suit le document, il apparait que ces organisations seraient intégrées dans le processus dans les étapes suivantes.

Le document ne mentionne même pas l'ICANN ou encore IANA et se borne à faire une référence au Forum sur la Gouvernance Internet qui, malgré ses mérites, ne possède aucune capacité de décision.

Il semble que la Commission, au-delà de l'exemple de l'EP3R se focalise sur une approche très stato-centrée de l'Internet et cela parait dommageable. Après tout et quoi qu'on en dise, les organisations capables d'imposer une régulation dans le domaines critiques d'Internet ne sont pas légions : les noms de domaines, les adresses IP, la normalisation des protocoles réseaux relèvent de la gouvernance Internet.

Apporter de la résilience à Internet sans impliquer ni connaître ces organisations parait donc peu opportun voire un peu étrange !

En conclusion, ce rapport apporte des éléments intéressants qui semblent confirmer un activisme de bon aloi au sein de l'Europe en matière de protection des infrastructures d'informations critiques. Préserver Internet dont nos sociétés paraissent dépendantes est très certainement une très bonne idée. Mais ne mélangeons pas tout !

Il parait logique de considérer qu'une bonne stratégie de défense et de sécurité en matière de risques informatiques à un niveau national prennent en compte la dimensions des infrastructures critiques. Il ne semble pas, en revanche, opportun de lui assimiler des réflexes, pensées et démarches militaires ou propres au domaine de la défense.

Ainsi, l'OTAN est une organisation militaire qui répond à des besoins et objectifs militaires (en tous cas pour moi) : elle doit défendre ses systèmes d'informations qui sont des cibles. Elle peut également développer un aspect offensif. Mais l'OTAN n'est pas une organisation de développement des capacités de résilience des réseaux qui est une question appelant des réponses économiques, politiques et techniques.

Pour faire un parallèle, vous paraitrait-il logique, en France que le Ministère de la Défense soit responsable d'Internet et des opérateurs d'importance vitale en matière de télécommunications ? Non, et d'ailleurs, ce n'est pas le cas puisque c'est notamment, l'ANSSI, le SGDSN etc...qui gèrent cette question. Et ce sont des organismes qui se préoccupent de défense et de sécurité à un niveau global et non strictement militaire...

Bref, ce document, malgré ses grandes qualités, montre un certain mélange des genres qui peut sembler préjudiciable à l'objectif visé. Enfin, parler de résilience d'Internet sans inclure plus spécifiquement les processus et organisations de la gouvernance ôte une part sensible à la crédibilité de ce document.

Source : (dans le texte). N'étant pas tendre avec ce document, j'espère provoquer un peu le débat.




3 commentaires:

  1. En complément à ton analyse juste et pertinente, j'ai traité à différentes reprises ce sujet dans plusieurs billets quant à la place centrale que pourrait (devrait ?) jouer l'OTAN dans la lutte contre dans les cyber-menaces dont est aussi victime l'Union européenne. Il semble que cette hypothèse prenne un peu plus corps maintenant tout en restant assez discrète.

    En même temps Arpanet, l'ancêtre de l'Internet est une créature de la DARPA alors, d'une manière ou d'une autre, la créature demeure et demeurera entre les mains dans son créateur !

    RépondreSupprimer
  2. Bonjour et merci pour ton commentaire ! N'hésites pas à inclure tes liens...

    Tu as raison pour Arpanet et peut-être aurais-je dû rappeler cette filiation qui n'est autre que la cause première de l'actuelle situation !

    En revanche, je suis un peu circonspect pour l'OTAN. Pour moi, l'OTAN est une organisation de défense commune mais avant tout une organisation militaire.

    Or, le militaire n'est qu'un aspect de la défense, pour nous autres français en tous les cas car la Défense est également Sécurité intérieure et défense économique.

    Or, les menaces cyber sont transverses (pour moi) et ne peuvent donc être réservées à l'OTAN.

    En revanche, je ne serai pas surpris de voir l'OTAN devenir un acteur premier dans le cadre des menaces informatiques de type stratégiques...

    Qu'en dis-tu ?

    RépondreSupprimer
  3. J'en dis que c'est l'un de mes thèmes de prédilection et que l'on peut retrouver une partie de la problématique et des questions dans ces 3 billets :
    - http://si-vis.blogspot.com/2011/02/la-cybersecurite-en-france-et-en-europe.html

    - http://si-vis.blogspot.com/2011/03/non-lanssi-nest-pas-le-french-cyber.html

    - http://si-vis.blogspot.com/2011/03/cyber-defense-de-lotan-ca-progresse.html

    Finalement, je pense que les jeux sont (presque) faits mais que le contexte politique actuel associé à de lancinantes ritournelles sur l'Europe (en particulier sur son hypothétique indépendance vis à vis des USA qui passerait alors par une armée européenne - autre qu'Otanienne) et ce dans un contexte économique pour le moins délicat (c'est une litote) font qu'il vaut mieux montrer nos petits bras musclés en Libye ou en Côte d'Ivoire tout en laissant la défense de nos (cyber) infrastructures de communication à l'OTAN. Avec un tel écheveau, il sera intéressant de lire le programme des candidats déclarés lors de la présidentielle de 2012 sur la Défense, l'OTAN et l'ambition géopolitique de la France (ou non).

    La France conservant (ou ayant repris) une sorte de leadership au niveau européen, à travers les opérations militaires actuelles, son influence sur le sujet demeure centrale et motrice.

    RépondreSupprimer