Le CSFRS est une organisation, le Conseil Supérieur de la Formation et de la Recherche Stratégique, qui répond à un constat réalisé lors d'un travail d'audit conduit par M. Alain Bauer à la demande du Président de la République. Ce constat mettait en avant une certaine désorganisation de ce domaine de recherche en France et une nécessaire réorganisation.
Suite à ce rapport publié en 2008, le CSFRS a été créé en 2009 et sa présidence confiée à M. Bauer. Il a plusieurs objectifs dont celui de favoriser la recherche stratégique en pilotant des programmes et en lançant diverses initiatives. Le rapport et les récentes assises en sont un exemple.
Autre point intéressant, cette organisation est notamment pourvu d'un conseil scientifique assez intéressant. Ayant eu le privilège d'échanger avec un représentant de cette organisation, j'ai pu en avoir un aperçu et j'en ai retenu plusieurs points.
Le premier est une approche originale de la stratégique qui n'hésite pas à évoquer les sujets "cyber" par exemple mais d'autres sujets comme l'eau, la gouvernance et le pouvoir des normes, biodiversité, climat, bien-être et stratégie...bref une approche décomplexée.
Le second point est la composition, qui fait appel à des experts de qualité mais aussi réputé pour leur pensée "libre" ou originale. En matière "cyber", on retrouve ainsi des noms connus comme M. Blancher ou M. Huygues (et plein d'autres mais je ne peux citer tous le monde..qu'ils me pardonnent s'ils me lisent).
Une lecture hautement recommandée donc que je vais, comme à mon habitude, résumer en quelques poins arbitraires.
L'essentiel des aspects "cyber" est situé dans la section 4. On notera cependant un point intéressant au début du rapport qui fait mention des grandes capacités des normes et standards internationaux. Ceci est particulièrement important en matière d'Internet où les normes (RFC , W3C....) sont nombreuses et importantes. Le message est clair : les normes sont un vecteur de compétitivité et l'influence sur leur rédaction un facteur économique clair est tout à fait important.
Au sein de la section 4 en particulier, j'ai retenu :
=> un constat sans ambiguïté qui fait état d'un certain échec du modèle de sécurité en constatant que "les mécanismes de sensibilisation, de compréhension des risques, de réglementation et de contrôle ne sont aujourd’hui ni efficaces, ni compris ni appliqués". Un constat qui n'est pas sans rappeler certaines conclusions du SSTIC 2011.
=> Les protocoles sont à nouveau désignés : soit pour dénoncer le caractère dangereux d'une homogénéité trop importante de ces protocoles au sein des infrastructures critiques par exemple. A cet égard, le rapport va par exemple recommander la création de protocole réseaux sui generis adaptés au contexte particulier des OIV.
Notons tout de même que s'il est souvent dit que les protocoles d'Internet ne sont pas sécurisés, force est de constater une certaine capacité de résilience du système, même avec un passage à l'échelle...La disponibilité étant un critère important, ne peut-on considérer une certaine réussite à Internet ? Par ailleurs, n'est-ce pas plutôt le fait de demander un service particulier (confidentialité, intégrité...) sur un système non prévu pour cela qui pose problème ?
=> le rapport insiste aussi de manière importante sur la difficulté des ressources humaines. La formation est ainsi indiquée comme un point à améliorer, associé éventuellement à des notions de labellisation. Plus généralement, c'est le manque d'incitateurs et les fortes contraintes sur les praticiens ou passionnés de sécurité qui est pointé du doigt comme une perte de compétences et de capacités.
A noter ici que les USA rencontrent également des problématiques dans la ressource humaine en sécurité.
=> Point intéressant, la création d'un centre d'entraînement et de réseaux ad-hoc permettant notamment de tester des technologiques ou des systèmes de sécurité, voire des doctrines d'emploi plus offensives. Cela n'est pas sans rappeler le National Cyber Range ou l'Information Assurance Range.
Concluons ce message déjà un peu long en réaffirmant tout l'intérêt de ce rapport porteur d'une certaine parole libre associé à des propositions intéressantes et innovantes. S'il établit également des constats sans concessions et qui méritaient de connaître toute la force d'une publication officielle, il occasionne aussi beaucoup de questions (auxquelles je n'ai pas de réponse). Il ouvre ainsi la voie à d'intenses débats et c'est aussi cela, la stratégie !
Source : dans le texte
Suite à ce rapport publié en 2008, le CSFRS a été créé en 2009 et sa présidence confiée à M. Bauer. Il a plusieurs objectifs dont celui de favoriser la recherche stratégique en pilotant des programmes et en lançant diverses initiatives. Le rapport et les récentes assises en sont un exemple.
Autre point intéressant, cette organisation est notamment pourvu d'un conseil scientifique assez intéressant. Ayant eu le privilège d'échanger avec un représentant de cette organisation, j'ai pu en avoir un aperçu et j'en ai retenu plusieurs points.
Le premier est une approche originale de la stratégique qui n'hésite pas à évoquer les sujets "cyber" par exemple mais d'autres sujets comme l'eau, la gouvernance et le pouvoir des normes, biodiversité, climat, bien-être et stratégie...bref une approche décomplexée.
Le second point est la composition, qui fait appel à des experts de qualité mais aussi réputé pour leur pensée "libre" ou originale. En matière "cyber", on retrouve ainsi des noms connus comme M. Blancher ou M. Huygues (et plein d'autres mais je ne peux citer tous le monde..qu'ils me pardonnent s'ils me lisent).
Une lecture hautement recommandée donc que je vais, comme à mon habitude, résumer en quelques poins arbitraires.
L'essentiel des aspects "cyber" est situé dans la section 4. On notera cependant un point intéressant au début du rapport qui fait mention des grandes capacités des normes et standards internationaux. Ceci est particulièrement important en matière d'Internet où les normes (RFC , W3C....) sont nombreuses et importantes. Le message est clair : les normes sont un vecteur de compétitivité et l'influence sur leur rédaction un facteur économique clair est tout à fait important.
Au sein de la section 4 en particulier, j'ai retenu :
=> un constat sans ambiguïté qui fait état d'un certain échec du modèle de sécurité en constatant que "les mécanismes de sensibilisation, de compréhension des risques, de réglementation et de contrôle ne sont aujourd’hui ni efficaces, ni compris ni appliqués". Un constat qui n'est pas sans rappeler certaines conclusions du SSTIC 2011.
=> Les protocoles sont à nouveau désignés : soit pour dénoncer le caractère dangereux d'une homogénéité trop importante de ces protocoles au sein des infrastructures critiques par exemple. A cet égard, le rapport va par exemple recommander la création de protocole réseaux sui generis adaptés au contexte particulier des OIV.
Notons tout de même que s'il est souvent dit que les protocoles d'Internet ne sont pas sécurisés, force est de constater une certaine capacité de résilience du système, même avec un passage à l'échelle...La disponibilité étant un critère important, ne peut-on considérer une certaine réussite à Internet ? Par ailleurs, n'est-ce pas plutôt le fait de demander un service particulier (confidentialité, intégrité...) sur un système non prévu pour cela qui pose problème ?
=> le rapport insiste aussi de manière importante sur la difficulté des ressources humaines. La formation est ainsi indiquée comme un point à améliorer, associé éventuellement à des notions de labellisation. Plus généralement, c'est le manque d'incitateurs et les fortes contraintes sur les praticiens ou passionnés de sécurité qui est pointé du doigt comme une perte de compétences et de capacités.
A noter ici que les USA rencontrent également des problématiques dans la ressource humaine en sécurité.
=> Point intéressant, la création d'un centre d'entraînement et de réseaux ad-hoc permettant notamment de tester des technologiques ou des systèmes de sécurité, voire des doctrines d'emploi plus offensives. Cela n'est pas sans rappeler le National Cyber Range ou l'Information Assurance Range.
Concluons ce message déjà un peu long en réaffirmant tout l'intérêt de ce rapport porteur d'une certaine parole libre associé à des propositions intéressantes et innovantes. S'il établit également des constats sans concessions et qui méritaient de connaître toute la force d'une publication officielle, il occasionne aussi beaucoup de questions (auxquelles je n'ai pas de réponse). Il ouvre ainsi la voie à d'intenses débats et c'est aussi cela, la stratégie !
Source : dans le texte
Aucun commentaire:
Enregistrer un commentaire