lundi 18 juillet 2011

DOD Strategy for Operating in Cyberspace

Un énième document stratégique américain a donc été publié le 14 Juillet et annoncé par le Sous-secrétaire d'Etat à la Défense William J. Lynn, un acteur désormais incontournable de ces questions au sein des administrations de défense américaine.

Un autre document donc qui nous donne l'occasion de rappeler d'autres publications récentes, également américaine et qui structurent la vision des Etats-Unis :

- International Strategy for Cyberespace rédigée et publiée par la Maison Blanche et dont la vocation n'est pas uniquement militaire.

- Une proposition législative globale de la Maison Blanche dont la publication coïncidait avec la précédente stratégie mais qui ne semble pas apporter de réelles nouveautés.

- des discours un peu étonnants sur la dissuasion autour de "Cyber 3.0".

- des options législatives complexes et pas forcément toujours abouties et remises en cause alors que le Sénateur McCain (candidat malheureux à la présidence) propose de dédier un comité unique dans les chambres législatives américaines.

Ce dernier document est donc un travail proposé par le Ministère de la Défense américain et livre donc une vision résolument défense et militaire. Il n'est pas forcément question de sécurité ici justement ou de développement, de gouvernance internet mais bien de défense. Dans tous ces documents, il est évident que la position et le statut de l'auteur implique une vision et des objectifs bien différents. Notons toutefois la position de Wired qui se demande si ce document reflète réellement les positions du DoD.

Comme de "coutume", ce blog vous propose une lecture transversale et critique du document pour essayer d'en extraire des informations intéressantes.

L'introduction, classique, nous rappelle la très forte croissance d'Internet ces dernières années et envisage une pénétration croissante de l'outil dans le quotidien de nos vies. Cependant, rappelons l'objet et l'origine de la stratégie, "défense", concerné ici notamment par l'interaction avec la base industrielle de Défense. Rappelons ainsi que des compromissions des plans et informations techniques concernant l'aviation militaire américaines auraient été effectuées.

La dépendance du DoD s'exprime aussi au travers de ses propres besoins et fonctionnement. La nuance est à faire car, bien que la tendance actuelle intègre les réseaux "privés" au sein du cyberespace, les réseaux militaires présentent aussi de substantielles différences. Cela ne les empêche pas d'utiliser aussi Internet malgré leur remarquables ressources ( 15 000 réseaux et 16 millions d'ordinateurs)...Remarquons aussi l'énormité des chiffres.

Il est intéressant de constater que le document semble tout de même un peu partagé entre 3 visions du cyberespace :

- une vision mettant en avant l'interaction de l'usage du Net par le domaine civil avec la défense du pays et les capacités du DoD. C'est ici que les notions de protection des libertés d'usage et de langage prennent tout leur sens.

- une vision mettant en avant les risques et les menaces. Cette vision classique justifie les documents étudiés ici.

- une vision souvent omise car plus ancienne et qui s'enracine dans les tendances technophiles et les notions de multiplicateur de force qui ont été vues dans ces technologies. Des théories comme la RMA Revolution of Military Affairs et NCW - Network Centric Warfare ont ainsi appuyé ce développement et cette dépendance technologique. Peut-être ont-ils également permis aux USA de devenir la première puissance mondiale (ou bien est-ce la simple "quantité" ?) mais ils sont clairement aujourd'hui un besoin essentiel tout autant qu'un facteur de risque.

L'analyse des menaces met en avant à la fois la dépendance aux technologies et composant pour le DoD dans le cadre des ses infrastructures et opérations. Elle évoque aussi les caractéristiques du net : ouverture vs. identification, connectivité vs. contrôle de l'intégrité...Encore une fois, demeure la sensation que le DoD se pose presque en "victime" d'Internet et de l'usage incontrôlé d'une technologie qui ne présente pas les garanties attendues pour ces usages spécifiques uniquement.

S'il parait compréhensible que la Défense américaine ne maitrise qu'imparfaitement ses relations avec sa base industrielle, on est beaucoup plus sceptique lorsqu'il s'agit d'utiliser des technologies type "Internet" en termes de protocoles sur des réseaux et pour des usages spécifiques réclamant des fonctionnalités ou service de sécurité supplémentaire.

Pour répondre à ces menaces tout en préservant les potentialités du Net, ce qui n'est pas sans rappeler la notion de "résoudre la quadrature du cercle", le document établit 5 étapes stratégiques :

=> Considérer le cyberespace comme un domaine d'opération. Organiser, entrainer et s'équiper afin de tirer le meilleur possible du cyberespace.

Plusieurs articles et analyses en ont compris que le DoD notifiait ainsi sa vision d'Internet comme un champ de bataille...Ce blog considère que cette analyse et trop rapide : l'espace extra-atmosphérique participe ainsi des opérations militaires et n'est pas, par traité international et dans les faits, un champ de bataille en tant que tel.

Offrant une synthèse intéressante du système de défense "cyber" américain, ce premier point conclut par l'obligation d'organiser des cyber "red teams" associés à des exercices d'envergure susceptibles d'orienter la planification.

=> Le DoD devra utiliser de nouveaux concepts afin de protéger ses systèmes et réseaux.

Parmi ces concepts, on trouve celui de la "cyber-hygiène" qui semble faire figure de panacée numérique...La cyber-hygiène semble cependant, à la lecture, n'être qu'une compilation des pratiques classiques en SSI (systèmes mise à jour, formation, sensibilisation, renforcement des matériels...).

Un second concept repose sur la dissuasion et le fait de limiter les attaques. C'est une théorie presque classique en sécurité informatique qui veut qu'à mettre des barrières de sécurité, on hausse le niveau nécessaire à l'attaque, décourageant certains assaillants. Poussée à bout, la logique voudrait qu'un très fort niveau de sécurité, agile et adaptable, soit susceptible de décourager tous les assaillants...Pour le moment, ce n'est que théorique et la prime revient toujours à l'attaquant.

=> Le DoD établira des partenariats avec l'ensemble des acteurs afin de faciliter l'application globale d'une cyber-stratégie

Cet aspect comprend deux points : le soutien du DHS dans sa mission de pilote des efforts de SSI pour l'ensemble du gouvernement et l'établissement de partenariat public-privé plus efficace et susceptible de soutenir les efforts et objectifs du DoD. Une attention particulière est portée aux produits susceptibles d'être construits à l'étranger (on se souviendra des matériels cisco contrefaits).

=> Le DoD établira des partenariats avec les alliés et des partenaires internationaux afin de promouvoir la cyber-sécurité.

On remarquera tout d'abord la capacité extraordinaire du DoD car un ministère d'un pays est donc capable de conclure directement des accords avec des partenaires étrangers. Il ne s'agit pas ici de diplomates agissant pour le pouvoir politique mais bien d'une capacité semble-t-il indépendante. Celle-ci semble cependant s'inscrire dans le document de la Maison Blanche, International Strategy for Cyberespace.

Ici, on peut songer à la conduire d'exercice dans le cadre de l'OTAN ou la participation à des exercice aux Etats-Unis avec la participation de pays comme la France. On peut également songer à la construction de capacités, autour de forces communes, dans le cadre des extraordinaires capacités de planification de l'OTAN. Cela supposerait cependant que les autres pays communiquent aussi ouvertement sur le déploiement de ces capacités et la mise en place de ces unités.

=> Le DoD développera une capacité "cyber" notamment par le recrutement et la formation afin d'élever globalement le niveau de sécurité et notamment par l'innovation

L'objectif, ambitieux, est de catalyser les capacités afin de procurer une ressource humaine bien formée et entrainée, susceptible de conduire les "opérations" dans le cyberespace entendues par le DoD. A nouveau, le DoD établit une nécessité de modifier les approches traditionnelles, par exemple en utilisant de manière plus intensive la Réserve et la Garde Nationale.

Un autre changement profond peut être trouvé dans la modification des cycles d'achat afin de les adapter : rapidité, développement et tests incrémentaux plutôt que "one-shot", limiter les spécificités des configurations, création de niveaux de sécurité différents en fonction des besoins, approche "défense en profondeur" dans les pré-requis de sécurité...

Si la nécessité d'évoluer rapidement ne fait aucun doute, le fait de limiter les configurations personnalisés (ou customisation) conduit à se demander si l'approche des produits "par étagères" n'est pas une mauvaise solution également...A moins que les capacités à imposer de stricts normes de sécurité aux industrielles soient particulièrement fortes.

Au final, cette stratégie laisse un peu sur sa faim le lecteur avisé qui souhaite en savoir un peu plus. Rappelons cependant que cette stratégie n'est qu'une version non protégée et donc potentiellement expurgée des vraies décisions et actions que pourraient prendre le DoD.

Cette thèse également exposée par Wired parait très probable car, tout bien considéré, ce document n'est qu'une longue liste de voeux pieux ("DoD will do" ceci, cela et encore ceci) dont l'ancrage dans la réalité laisse parfois dubitatif.

Appelant à l'utilisation de concepts nouveaux, on voit surtout la réutilisation de nombreux classiques, à quelques exceptions près. Enfin, comme on l'a signalé, le document mélange allégrement les problématiques et axes de travaux ce qui ne clarifie pas les positions...

Décidément, non, ce document n'apporte pas grand chose et pose surtout beaucoup de questions sur la partie confidentielle de ce document...

Source :

http://www.defense.gov/news/newsarticle.aspx?id=64690

http://defense-jgp.blogspot.com/2011/07/la-strategie-americaine-dans-le.html

http://www.nextgov.com/nextgov/ng_20110714_5684.php

2 commentaires:

  1. Merci pour cette analyse, pertinente.

    Je pense qu'il faut savoir lire entre les lignes et ne pas sous-estimer l'utilisation d'une certaine posture par les USA. Je rejoins donc Wired sur ce point, d'autant plus que le jeu de poker menteur n'est jamais loin : alors que tout le monde a les yeux braqués sur le DHS et le Pentagone, quid de la CIA et de la NSA ?

    Ces entités disposent de moyens et de capacités techniques respectables (c'est une litote) et d'un sacré savoir-faire. Je penche donc pour la posture d'une administration Obama de type "main de fer dans un gant de velours".

    On aurait donc l'établissement de moyens défensifs et de protection "à niveau" avec une doctrine de dissuasion volontairement floue mais projetant des opérations cyber et réelles offensives (clandestines ou non).

    C'est peut-être ces éléments sensibles qu'il faut déduire de la partie confidentielle de l'Executive Order et de la Stratégie du DoD ?!

    RépondreSupprimer
  2. Merci de ce commentaire instructif dont je partage tout à fait la conclusion.

    Ma vision actuelle (elle évolue avec l'apprentissage) est que la notion de cyberespace fait disparaître le particularisme des actions et approches militaires. La notion d'opérations demeurent bien trop floue comme je le dis !

    Ainsi, je conviens qu'une stratégie de sécurité est utile ainsi qu'une stratégie d'usage...

    Je reste sceptique sur le sens donné aux opérations quand il s'agit d'être agressif : pour moi, on demeure dans le cadre d'actions de nature plus clandestines...

    RépondreSupprimer