vendredi 27 mai 2011

Cyber-Strat ; OTAN et France

Quelques nouvelles intéressantes en matière de stratégique de lutte informatique à deux niveaux : OTAN et France.

En ce qui concerne l'OTAN, un prochain sommet devrait se tenir à Cambridge du 6 au 7 Juin pour échanger sur ces questions entre experts. Fait intéressant, la Russie sera représenté, sans doute suite aux nombreux travaux et échanges dont ce blog s'est fait l'écho.

Bien que le plus récent concept stratégique de l'OTAN fasse une certaine place au cyber, il semble que celui-ci ne suffise pas forcément à appréhender l'ensemble des problématiques. Parmi la liste des sujets proposés, on retrouve ainsi d'anciennes questions :

- A history of internet security failure : le système DNS sera potentiellement abordé bien que l'arrivée de DNSSEC puisse apporter un nouveau de sécurité et que la disponibilité générale du système se soit largement améliorée depuis les débuts du DNS. On peut également songer à BGP ou plus généralement, aux problématiques de routage qui ont causé, plusieurs fois, des problèmes de sécurité (indisponibilité de certaines ressources, re-routage intempestif et illégitime...).

- Governing cyberspace – law, international cooperation and treaty : à cet égard, on peut également penser aux questions de gouvernance d'internet que le eG8 a abordé ou encore aux questions de l'applications de certains principes de droit international aux conflits dans le cyberespace.

Au-delà de l'OTAN, la France propose aussi quelques innovations de nature plus organisationnelles en matière de défense et de protection des SI Gouvernementaux.

Au travers d'une communication en Conseil des Ministres et d'une publication de l'ANSSI, on peut ainsi s'apercevoir que les autorités françaises ont proposé plusieurs mesures intéressantes.

Toutes les mesures sont intéressantes mais certaines appellent plus à la réflexion que d'autres. Ainsi, le groupe d'intervention rapide présente évidemment un aspect un peu "glamour" mais on n'en connait ni les responsabilités exactes ni les composants. Il est notoire que la France possède plusieurs entités travaillant à ces sujets : peut-on entrevoir ici une forme éventuelle de "task force" inter-directions ou inter-organisations ? Par ailleurs, on peut se demander comment ce groupe s'associera avec le COSSI ou encore le CERTA qui travaille également sur des questions nécessitant des réactions rapides.

Si la mise en place d'une politique SSI globale et interministérielle est certainement un gage de meilleure efficacité, on peut toutefois songer à l'exemple américain qui nous enseigne les faillites de l'approche "compliance" sous l'égide d'une loi unique (FISMA) ne prêtant pas forcément attention aux spécificités. De manière pragmatique, on note un projet global d'envergure autour de la carte "agent" permettant de renforcer les systèmes d'authentification.

On apprécie ensuite l'obligation de recours à des produits labellisés et qualifiés par les services de l'ANSSI. Ce point, relativement pragmatique également, parait potentiellement apporter quelques révolutions au sein des ministères peu enclins à adopter des bonnes pratiques de sécurité. Peut-être cela ouvrira-t-il la voie à une véritable "stratégie logicielle" française ?

Des dernières innovations, on retiendra notamment l'insertion de formations SSI dans les cursus, techniques ou non. Si ce point pourra satisfaire de nombreux avocats de la publicité de la SSI (et on peut difficilement être contre), on pourra toutefois se poser quelques questions :

=> dans la filière informatique (ingénieurs ou universitaires), nombreux sont ceux à avoir eu quelques cours ou leçons de sécurité ou "d'hygiène informatique" (cf. document). Que ceux-ci s'en souviennent une fois l'examen passé, qu'ils en prennent conscience est tout autre chose. Un passionné de nouvelles technologiques (web 2.0, mobile....) sera potentiellement un excellent technicien mais également un créateur de vulnérabilités atroces...

=> en matière de cursus non informatique, techniques ou non, il faut alors ré-inventer les cours car la sécurité informatique est souvent trop technique ou alors trop abstraite. La notion de "bonnes pratiques ou recettes" est certainement intéressante mais rien ne dit que les diplômés les suivront ensuite.

Je reste ainsi sur l'opinion que la sécurité est soit une passion, soit une contrainte...Et que l'intermédiaire est souvent très difficile.

Je conclurai en disant que ces mesures sont particulièrement riches d'actions à venir et sans doute promises à améliorer grandement notre niveau global de sécurité. Ce sont toutefois des chantiers complexes pour certains pour lesquels les autorités auront fort à faire.

Source : dans le texte

2 commentaires:

  1. Concernant l'insertion de formations propres à la sécurité, je pense que c'est tout à fait à propos que ce soit dans les filières techniques ou non.
    Pour les filières techniques, on approche souvent la sécurité uniquement sur le côté technique sans apporter une vision globale de la sécurité (incluant les ISO2700X notamment) présentant rapidement des problématiques techniques souvent déjà dépassées.

    Dans les milieux non-techniques, je m'étonne du manque de sensibilisation à la sécurité. Par exemple un professeur expliquant sous l'oeil médusé de ses élèves de Master 2 que le réseau de leur université n'était pas sécurisé. A mon sens, il faut apporter tot dans la formation (collège Lycée mais avec rappel dans les études supérieures) des règles pragmatique à ce qu'on peut faire et ne pas faire avec un Ordinateur/téléphone. Antivirus, respect de la vie privée, HTTPS...
    Sauf qu'ajourd'hui, cette sensibilisation sert surtout à dire aux collégiens que télécharger c'est maal et qu'il faut faire attention parce qu'Hadopi vient punir les méchants pirates à qui l'on doit l'effondrement de l'économie du disque...

    Donc encore une fois, il s'agit d'une idée intéressante il reste à voir son application réelle notamment vis-à-vis des priorités qui seront mises par les politiques (rappelons que la HADOPI a aujourd'hui plus de budget que la CNIL...)

    RépondreSupprimer
  2. Bonjour Etienne et merci pour le commentaire,

    Je suis assez d'accord avec toi sur le fond. Je suis volontiers méfiant avec ces effets d'annonce comme toi il me semble..

    Aprés, je sais aussi qu'à partir d'un certain niveau, la technique, même très peu, suscite un vrai désintérêt et ennui...

    Essaie d'expliquer à un "sciencepo" qu'il doit mettre un "s" à la fin de http ^^...

    RépondreSupprimer