jeudi 29 décembre 2011

Cyberdissuasion ou cyber dans la dissuasion

La "cyber-dissuasion" est un sujet épineux et âprement discuté. Bien souvent, les bons connaisseurs de la technique en voit uniquement l'aspect "réalisation" et insistent sur le caractère technique et irréaliste de ce type d'approche.

Et si le sujet était mal posé ? Et si le prisme était, pour une fois, trop technique ? Et si nous abordions les choses par le mauvais angle ?

C'est ayant à l'esprit ces question que j'ai proposé à l'auteur des Lignes Stratégiques de répondre à quelques questions. L'interview a été publié et demeure donc disponible à l'adresse suivante de l'Alliance Géostratégique.

Pour ma part, cela a pu faire profondément évoluer mon point de vue et j'insiste sur la nécessité d'aborder tout cela avec un esprit curieux et ouvert et surtout, pluridisciplinaire. En effet, il faut bien considérer que la dissuasion est une affaire complexe : technique, politique/diplomatique mais également militaire (dans le sens pur de l'affrontement et du conflits) et psychologique.

Pour donner un aperçu à ceux qui diraient que la dissuasion dans le cyber n'a pas de sens, n'oublions pas, par exemple, que la dissuasion n'est plus...dissuasion lorsqu'elle est réalisée ! L'usage des armes de la dissuasion est justement l'échec du système...

Source : dans le texte


vendredi 23 décembre 2011

Cyber Coalition 2011 - Exercice (encore)

Contrairement à ce que j'écrivais, l'année 2011 a connu un autre exercice, dans le cadre de l'OTAN cette fois-ci et appelé Cyber Coalition 2011. Celui-ci n'est pas le premier puisqu'on retrouve des tels exercices depuis au moins 2008.

29 états ont participé à cet exercice organisé autour d'un scénario mettant en avant un contexte difficile d'intervention multilatérale dans un pays connaissant des conflits ethniques et religieux (disclaimer oblige : "tout ceci n'a rien à voir avec la réalité et même si c'était le cas, ce n'est pas de notre faute") et donc les acteurs intentent des attaques sur les réseaux.

Notez également le très bon résumé de l'ANSSI qui en la matière représentait la France.

Je profite de ces derniers messages de l'année pour remercier mes lecteurs et vous souhaiter à tous de très bonnes fêtes de fin d'année !

mercredi 14 décembre 2011

Analyse du "Blueprint for a Secure Cyber Future" - DHS

Cette fin d'année, qui fut très riche en publications stratégiques diverses, est également assez intense avec des acteurs d'importance proposant leur vision. Après le Royaume-Uni, ce sont encore les Etats-Unis, plus précisément l'équivalent d'un ministère de la sécurité intérieure - Department of Homeland Security DHS - qui nous propose une stratégie.

Pour mémoire, on se souviendra que dans le découpage des responsabilités américaines en matière de défense informatique, le Pentagone a une obligation de défense des réseaux militaires tandis que le DHS a celle relative aux réseaux civils, incluant notamment une grande partie des infrastructures critiques.

Dans un tel document, d'environ une cinquantaine de pages, il est fréquent de trouver au début un résumé pratique car il contient souvent les grands axes de la stratégie que suivront les auteurs. Ce document n'y échappe pas et propose ainsi 2 domaines d'applications incluant des grands axes qui définiront les futures étapes d'application de la stratégie :

=> La protection des infrastructures d'information critiques

=> Construire un écosystème dans le cyberespace plus "fort" (entendez plus conforme aux valeurs qui sont les leurs).

Ces deux domaine reposent eux-mêmes sur des buts qui seront atteints si certains objectifs sont remplis. On rappelle donc la logique :

Domaine d'application => Buts => série d'objectifs.

Pour la protection des infrastructures critiques, la stratégie retient 4 buts principaux :

-Réduire l'exposition aux risques "cyber" et donc améliorer la sécurité

- Développer la capacité de réaction et de reprise d'activité

- Maintenir un niveau de connaissance de la situation de risque ou de crise, de manière partagée

- Augmenter la résilience

Pour l'évolution de l'environnement cyber :

- Augmenter la capacité des individus et des organisations à agir de manière sécurisée dans le cyberespace

- Faire évoluer vers une sécurité accrue les outils et protocoles communs qui fondent justement le cyberespace

- Construire des communautés de collaboration

- Mettre en place des processus transparents.

Le nouvel écosystème proposé devra présenter les caractéristiques suivantes :
- Les risques des NTICs sont compris et maitrisés par les utilisateurs

- Les organisations et les individus appliquent au quotidien les bonnes pratiques et les standards de sécurité et de respect de la vie privée

- Les identités des organisations, individus et réseaux sont clairement établies et authentifiées
- Les fonctions de sécurité sont inhérentes au système et inter-opérables

- Des fonction de réponse automatique sont mises en place ainsi que des indicateurs, de machine en machine, afin de répondre aux problématiques de sécurité


Comme on l'évoquait plus haut, les buts de ces domaines d'applications sont soutenus par une série d'objectifs.

Dans la suite de cet article, on présentera surtout les objectifs en relation avec les buts et domaines afin de comprendre essentiellement la structure de cette stratégie.


Différents éléments nouveaux, à mon sens, sont à noter :

La reprise d'une forme de contrôle de l'Internet qui semblait être peu ou prou "abandonnée" par les Etats-Unis. On ne cite ni l'ICANN ni aucun autre organisme classique de normalisation technique ou générique de l'Internet mais la notion de "leadership" dans les organismes de standardisation est claire.

C'est également vrai pour le développement d'un modèle de sécurité inter-opérable qui tend, peut-être, à créer un "bon" et des "mauvais" modèles...La crainte est alors de ne plus disposer d'un environnement si riche, prolifique et créateur en la matière.

La notion "d'authentification de l'identité" est à lier, d'après moi, au document présentant un nouveau modèle de gestion de l'identité par Howard Schmidt. L'équilibre entre la nécessité de confiance dans certaines relations (commerciales, administratives) et celles liées à la protection de la vie privée et d'un certain anonymat n'est pas très clair.

L'évolution des pratiques de partage de l'information a encore récemment fait l'actualité aux Etats-Unis et constitue un vrai enjeu. A cet égard, le retour d'expérience sera sans doute intéressant car, comme il a été évoqué, des fortes contraintes existes et pèseront sans doute sur la bonne volonté des acteurs.

On concluera par l'exposé d'une réelle innovation à mon sens. Trop souvent, l'entreprise est décrié pour sans manque de gestion de la sécurité ainsi que l'utilisateur ("le problème est entre la chaise et le clavier"). Il me parait très intéressant qu'un des objectifs de cette stratégie soit de redonner à l'utilisateur une forme de responsabilité de sa sécurité en accentuant les aspects "pratiques" et "éducatifs" des outils de sécurité fournis. C'est peut-être là que réside la plus grande innovation de ce document.

Source :

http://www.dhs.gov/files/publications/blueprint-for-a-secure-cyber-future.shtm

mardi 13 décembre 2011

Exercices informatiques depuis 1997

A lire dans le "Journal du Net", des extraits du dernier ouvrage de Daniel Ventre. En particulier, on retiendra une liste complète des exercices connus concernant tous les problématiques de crise informatique ou encore celles de lutte informatique.

Publication du "Blueprint for a Secure Cyber Future" - DHS

Le DHS, Department for Homeland Security vient de publier un document concernant les perspectives de sécurité dans le cyberespace.

En attendant une analyse plus approfondie, certains éléments sont déjà discutés sur Internet.


jeudi 8 décembre 2011

United Kingdom Cyber Security Strategy 2011 - 2ème partie

Dans un précédent article, nous débutions l'analyse de cette stratégie établie par le Royaume-Uni. Plusieurs points étaient retenus en guise de conclusion :

=> une analyse de deuxième niveau qui montre semble-t-il une certaine maturité

=> l'analyse et l'actualisation des menaces et risques se réfèrent justement à l'actualité sans tomber dans l'instantanéité

=> les concepts de sécurité évoluent profondément notamment avec la présence renforcée de l'ensemble des acteurs et une référence forte aux usages.

Le 4ème chapitre nous apprend que le livre blanc anglais relatif aux questions de défense et de sécurité (Strategic Defence and Security Review) a également consacré certains développements au cyber et à ses problématiques ainsi qu'un budget d'environ 650 £ répartis sur 4 ans au sein d'un programme dénommé National Cyber Security Programme (NCSP).

Le diagramme présenté ci-dessous et qui définit la répartition des budgets au sein de ce programme illustre d'ailleurs les priorités retenues mais également le large éventail des composantes de la "cyber-défense" : on y trouve la criminalité mais également les questions de sécurité des systèmes d'informations de l'état ainsi que la part réservé aux services de sécurité.

Ce dernier chapitre révèle également une liste de priorités déjà évoquées ci-dessous ainsi que des éléments relatifs à la création d'unités complémentaires : le Global Operations and Security Control Centre, localisé à Corsham, et dont le travail sera notamment d'assurer la sécurité informatique pour les armées avec d'éventuels éléments qualifiés de "proactifs".

Autre point intéressant, la fonction "publique" de la protection des infrastructures vitales est réalisée par le The Centre for the Protection of National Infrastructure auquel sera associé un "cyber security hub" permettant notamment des échanges entre les secteurs public et privé afin de partager des informations essentielles en matière de cyber-défense.

Retenons que les anglais, bien que recrutant des "hackers" ne semblent pas faire étalage de leur capacité offensive sauf à lire entre les lignes. Pour autant, ceux-ci disposeront d'un organisme de formation adossé au GCHQ, la "pointe de diamant" de la lutte informatique. Cet institut disposera d'un budget d'environ 2 millions de £ sur un peu plus de 3 ans.

En matière de lutte contre la cybercriminalité, la référence pudique à l'utilisation des compétences de "cyber-specials" interroge la notion d'emploi des "ex-pirates" reconvertis. Des programmes de sensibilisation des plus jeunes ainsi que de nombreuses autres mesures démontrent l'investissement en matière de formation des utilisateurs. La Convention de Budapest aurait été ratifiée et semble devenir un instrument de choix dans le traitement à l'international de la question.

En matière de refonte du cyberespace, l'ONU est également impliquée car elle accueille un groupe d'experts dédié au sujet qui devra trancher certaines questions. C'est également le cas de l'IUT. Il est intéressant de noter la référence à un partenariat priviligié entre le Royaume-Uni et la France sur ces questions ainsi que des références sibyllines dont la cible demeure inconnue : "Develop new bilateral relationships on cyber with those emerging powers that are active in cyberspace." Les "pouvoirs" ici peuvent autant désigner des "mouvances" comme l'hacktivisme avec qui pourtant, en raison de l'absence de "centre", il parait délicat d'entretenir de réelles relations, que des Etats dont la présence sur Internet peut constituer un "poids" politique considérable dans ces discussions.

Il serait inutile de continuer ainsi sur le dernier chapitre qui reprend toutes les mesures permettant "d'implémenter" les 4 objectifs décrits. Les mesures en questions sont d'ailleurs largement développées et déclinées en actions relativement claires, ce qui renforce la crédibilité et la maturité de cette stratégie. Pour une lecture plus efficace, les annexes proposent une version en tableau des objectifs/Mesures/Actions.

Nous n'irons pas plus loin dans l'analyse de cette stratégie qui présente un certain nombre d'éléments caractéristiques. Notons tout de même qu'il ne s'agit pas vraiment ici de doctrine ou d'une approche "défense et sécurité" classique car celle-ci semble aller bien plus loin en intégrant de nombreuses dimensions qui lui donne un caractère global.

Ces dimensions sont autant spécifiques au cyberespace et aux éléments de sécurité : rappel du rôle de l'utilisation, lutte éclairée contre la cybercriminalité, développement des capacités et compétences...qu'aux approches classiques en relations internationales. En effet, à bien y regarder, tous les acteurs ont été identifiés et trouvent une place dans cette stratégie : on a donc bien une approche très large qui, pour le moment, laisse penser qu'on est en présence d'une des vision les plus aboutie...Reste à voir la réalisation !

Source :

http://www.cabinetoffice.gov.uk/sites/default/files/resources/uk-cyber-security-strategy_0.pdf

mardi 6 décembre 2011

Cyber-ExerciceS 2011 : suite et sans doute fin

L'heure est décidément aux exercices de sécurité et de lutte informatique avec plusieurs acteurs majeurs mettant en place ce type d'action :

- l'US CyberCom a lancé un exercice de grande ampleur de type "Red Flag" baptisé "CyberFlag" sur le site de Nellis Base qui héberge justement les fameux exercices.

Classiquement composé d'un "capture the flag" si l'on peut dire avec une équipe en attaque et une seconde en défense, les résultats demeurent confidentiels.


- D'un autre côté, l'IUT, associé à IMPACT que ce blog a déjà évoqué, ont également lancé un exercice impliquant plusieurs pays dont des états asiatiques, ce qui demeure relativement rare pour le moment dans les exercices de ce type.

3 types d'attaques ont été utilisées : spam, diffusion de malwares et déni de service dans cet exercice impliquant plusieurs pays : Vietnam, Birmanie, Laos et sans doute Malaisie.

On connait le tropisme particulier de l'IUT qui développe sous la présidence de Hamadoun Touré un activisme surprenant pour la prise en compte des éléments de lutte informatique et "cyber attaque" au sein de son organisation.

Source :

Nuntius Belli - Theatrum Belli - Laissez un message !

Le site Theatrum Belli qui traite des questions de sécurité et de défense a lancé une initiative dédiée aux soldats en opérations, surtout en Afghanistan...

Il ne s'agit pas de politique ou je ne sais quoi mais d'un simple message à envoyer pour les Noël notamment et ceux qui la passent loin de chez eux...

On pourrait me rétorquer qu'il y a plein de causes à défendre, plein de gens malheureux etc etc...Et je suis bien d'accord. Mais c'est mon choix alors pas de débats inutiles s'il vous plait.

=======================================================

Le binôme de NUNTIUS BELLI (Pascal Dupont et Stéphane Gaudin) reste sur la brèche pour Noël 2011.

Lecteurs de TB, prenez 10 minutes de votre temps pour écrire un message de soutien (10-15 lignes) à nos soldats en Afghanistan (directement à partir du formulaire ci-dessous).N'hésitez pas à impliquer vos amis, vos collègues de travail ou d'association, votre comité d'entreprise...Nous comptons sur vous !

Vos messages seront imprimés puis envoyés par colis sur le terrain pour Noël.L'objectif est de pouvoir distribuer un message par soldat (soit près de 4000 messages différents). Un défi réalisable !

Exemple : chaque maire de France pourrait déposer un message (et pourquoi pas des membres des conseils municipaux). Cela serait perçu comme un vibrant témoignage du lien armée-nation. D'autant plus que la Défense était présente au salon des Maires et des Collectivités locales du 22 au 24 novembre.

Vous pouvez également adresser un message audio (MP3) que vous pouvez envoyer à contact@theatrum-belli.com ou bien une lettre, un dessin d'enfant, une carte postale à l'adresse suivante :THEATRUM BELLIc/o Pascal DUPONT23, Rue de Bellevue88110 Raon l’Étape

PS : Nous rappelons que soutenir les troupes françaises ne signifie pas forcément soutenir le choix politique de leur déploiement. Il s'agit d'un geste citoyen et fraternel en dehors de toute considération politique.

Opération NUNTIUS BELLI : Pour leur 10e Noël, envoyer votre message de soutien aux soldats français en Afghanistan

1293703724.png

lundi 5 décembre 2011

United Kingdom Cyber Security Strategy 2011

A l'instar de nombreux autres pays et alors que ses services annoncent un recrutement de "hackers", le Royaume-Uni publiait récemment une mise à jour de sa doctrine de cyber-sécurité. La précédente datait de 2009 et est disponible également.

Ce texte est particulièrement intéressant car il s'agit d'une première remise à jour d'une doctrine de sécurité déjà établie. C'est une forme de "seconde génération" de doctrine de sécurité dans le cyberespace.

Cette stratégie est établie jusqu'à 2015, ce qui fait du Royaume-Uni, le premier état à considérer l'amélioration continue (bonne pratique de SSI !) un des moteurs de sa stratégie. A cette fin, elle établit un budget lié, d'environ 650 millions de Livres Sterling, sur la même durée et établit la "menace" et la problématique du cyberespace dans les 3 plus importantes.

Elle définit également 4 objectifs principaux :

=> Renforcer la lutte contre la cyber-criminalité par la création, notamment, d'une National Crime Agency qui travaillera au-delà de la question cybercriminelle mais constituera une entité unique pour toutes les questions criminelles complexes de ce type.

=> Renforcer sa résilience contre les cyber-attaques : on sent plus la prégnance du diplomatico-stratégique ici, c'est à dire d'une adresse aux Etats alliés ou non, agences de renseignements et autres.

=> Participer à l'évolution globale du cyberespace vers un domaine plus et mieux contrôlé offrant des meilleurs garanties de sécurité pour les usagers.

Comme en 2009, la stratégie établit un objectif transverse relatif aux compétences et acquisition technologique et, à mon sens, commet une erreur en mélangeant moyens et objectifs. D'autant qu'elle prononce ensuite une liste de moyens classiques, relativement génériques au demeurant, parmi lesquels :

=> le renforcement du partenariat public-privé
=> l'établissement de relations privilégiées avec les FAI à des fins de sécurité
=> une meilleure coopération internationale
=> un renforcement des capacités de défense autour des entités déjà connues (GCHQ par exemple).

En poursuivant, nous découvrons le premier chapitre consacré aux l'évaluation des modifications économiques induits par le développement de l'usage des NTICS : consommation, éducation mais aussi économies pour les états...

Un second chapitre traite ensuite des menaces évolutives, qui constituent très certainement une des causes de ce renouvellement et de l'évolution de cette stratégie. Considérant sa structure, on peut même plutôt y voir une forme de mise à jour, ce qui serait cohérent avec la description d'une stratégique au sens classique. Celle-ci constitue un ensemble d'objectifs avec un certain délai : il ne serait pas logique de les voir changer chaque année.

En revanche, un ré-examen de la situation de la menace ou, plus généralement, de l'environnement, plus régulièrement permet de procéder à des ajustements et reste tout à fait pertinent vis-à-vis d'une démarche que l'on imagine plus longue et complexe.

Comme attendue, l'analyse de la menace est très intéressante. Elle reprend les problèmes sous-jacents (pas de sécurité dans l'architecture du Net) ainsi que les acteurs classiques et leurs atteintes communes, cybercriminels et cybercriminalité.

En revanche, lorsqu'elle s'attarde sur l'aspect terroriste, c'est bien pour mettre en avant l'aspect logistique et communication offensive. Tout en préservant la question des attaques sur les infrastructures, la stratégie n'en fait pas pour le moment le problème le plus important.

En bonne place figure également la mouvance "hacktiviste" qui a été cette année particulièrement au centre des attentions avec des attaques de perturbation, sur la réputation. Les menaces par les services de renseignement étrangers sont également abordés sans distinction particulière.

Si le document évoque des exemples récents avec la montée des mobiles/malwares et le cas de Sony, elle n'oublie pas des éléments plus délicats à aborder : la préservation des valeurs du pays dans un environnement d'échange ou encore la problématique des normes de demain qui feront, il est vrai, une bonne part des vulnérabilités du futur.

De manière assez étonnante dans ce chapitre se trouve également des éléments sur l'accès à Internet pour le public, en particulier dans le contexte du "printemps arabe", et la nécessité de posséder un corpus partagé de principes, droits et textes juridiques concernant le cyberespace.


Le 3ème chapitre décrit les grands principes de la mise en application des 4 axes de cette stratégie. A l'instar de l'approche allemande, que l'on avait critiquée lors de sa parution, il semble que la vision "risque" soit inhérente à cette stratégique. Malgré tout, il semble que cette stratégie conserve une vision très politique des choses qui dément cette vision "risk approach". Et ce n'est pas plus mal...Voici les principes retenus :

=> une approche fondée sur la coopération avec le secteur privé mais également à l'international
=> un équilibre entre sécurité et droits de l'homme, qui n'est pas forcément nouvelle mais résonne des préoccupations actuelles.
=> une protection axée sur 3 rôles principaux

- utilisateur : sensibilisation, conscience...Cela passe par apprendre à protéger des mots de passe ou encore faire des mises à jour
- entreprise : protection des savoir-faire, production de services et offres de sécurité...
- gouvernement : construire le cadre juridique, éducatif, se préoccuper des menaces de haut-niveau, participer aux évolutions internationales...

Afin de simplifier la lecture, nous arrêterons là l'analyse et proposons une suite dans un second article, voire un troisième. Voici donc un premier élément de conclusion.

Que peut-on retenir des premiers éléments de cette stratégie ?

Tout d'abord, on retiendra qu'elle se situe dans la droite ligne de la précédente et si elle semble en hériter quelques défauts, elle marque par une forme de maturité. Ainsi, l'analyse de la menace est équilibrée tout en restant globale et à jour.

La prise en compte de l'actualité ne dissimule ainsi pas, à la lecture, des tendances plus profondes et des analyses très pertinentes comme la question des valeurs et des droits de l'homme ou encore la place du droit.

Enfin, on notera une considération élevée et intéressante de la sécurité qui replace l'utilisateur au centre de ses usages tout en conservant au hautes-instances des rôles d'expertise et de régulation. Il n'est plus question donc d'un simple effet d'annonce sans un contexte intellectuel construit.

A suivre donc...

Source :

vendredi 2 décembre 2011

Cyber Intelligence Sharing and Protection Act of 2011

MAJ

Selon un récent article, cette coopération se ferait au travers d'un organisme "tampon" dénommé National Information Sharing Organization (NISO). Il semblerait aussi que des inquiétudes aient été émises par divers parties concernant une augmentation des pouvoirs d'acquisition d'information notamment de la NSA. C'est tout le problème de ce type d'action afin de partager l'information...

======================================================
La publication et la proposition de ce projet de loi aux Etats-Unis devraient interpeller tout ceux intéressés par le partenariat public-privé.

En effet, dans l'environnement incertain du cyberespace, il parait évident à tous que les secteurs publics et privés doivent coopérer afin d'améliorer la sécurité, en particulier en échangeant des informations sur les attaques en cours ou à venir.

Si cela semble incontestable, il n'en demeure pas moins que diverses difficultés existent et en particulier la protection des informations et de certains secrets qui ne doivent pas tomber entre toutes les mains.

Lorsqu'ils sont "confinés" dans les instances spécialisées des gouvernements, ces informations sont sans doute mieux protégées (quoiqu'on puisse en douter avec les démêlés de Wikileaks). Le partage d'information doit donc être encadré et s'inscrire dans un cadre légal cohérent et c'est ce que propose ce fameux projet de loi.

Le système semble même aller plus loin puisque les entreprises seront incités à collaborer de manière anonyme et sur une base volontaire. Les informations recueillies devront être partagées par l'ensemble des acteurs sous peine de créer des distorsions de concurrence. Enfin, le système évoque même la possibilité de "punir" des entreprises qui auraient négligé d'agir afin de se protéger contre les attaques dont elles auraient été averties par ce système.

Il est à noter que ce système constitue une forme de réponse, qui n'est sans doute pas la première, à cette problématique semble-t-il complexe. Toutefois, l'on peut se demander si la complexité n'est pas humaine plus que technique (au sens juridique/procédures) car la notion même de coopération "en-dehors" est absolument étrangère à tous les acteurs :

- en ces temps de rudes concurrences, une entreprise aura tendance à souhaiter la chute de ses concurrents...

- on imagine quand même assez mal les discrets services de sécurité proposer des informations aux entreprises quand ce serait aussi leur révéler des méthodes, des intérêts ou encore des capacités

Bref, c'est un peu une révolution culturelle qui est demandée ici et on se demande si un "simple" projet de loi sera suffisant.