Une initiative intéressante du cabinet de consultants Booz Hallen Hamilton est disponible en ligne. Il s'agit d'un classement des pays "puissances du cyber" si l'on prend une certaine liberté avec la traduction.
L'idée, qui n'est pas nouvelle, consiste à proposer un index et un classement des pays disposant de capacités réelle dans le cyberespace. Pour proposer une mesure relativement objective, le classement s'appuie sur ce qui semble être une sorte d'analyse risque-pays.
Fréquemment utilisé dans le domaine des assurances par exemple, ce type d'approche permet de "noter" (eh oui...sans doute un peu comme une agence de notation) un pays et d'estimer le niveau de risque qu'il présente afin, par exemple, de déduire les montants d'une police d'assurance si on veut y faire des affaires et s'assurer.
Notons quelques points qui paraissent ici intéressants pour l'auteur :
=> un peu de fierté tout d'abord avec une 6ème place intéressante pour la France. Comme on a pu le faire remarquer précédemment, les efforts de la France sont parfois difficilement perceptibles car le secret demeure marqué. Néanmoins, avec une poste marquée depuis le Livre Blanc de 2008 et de récents efforts autour de l'ANSSI notamment (mais pas uniquement si l'on regarde les lois de dépense pour l'année à venir), ces éléments ont été retenus par le cabinet.
=> les 3 premiers pays sont anglo-saxons, avec dans l'ordre : Grande-Bretagne, USA et Australie suivi du Canada et de l'Allemagne
=> Il est très intéressant de s'intéresser assez précisément aux données utilisées pour attribuer les notes. Celles-ci sont réparties en 4 catégories :
- Environnement juridique et régulation qui s'intéresse à l'engagement du gouvernement et les plans numériques, de cyberdéfense etc etc...
- Le contexte social et économique : innovation, situation du marché informatique...
- L'infrastructure technique : accès et qualité des accès au cyberespace incluant la téléphonie mobile mais aussi les serveurs dits sécurisés
- Importance au sein des industries : à quel point les NTICs imprègnent les autres industries y compris la défense, la finance ou l'énergie.
Malgré des critères très globaux et intéressants, laissons-nous aller à quelques critiques. Tout d'abord, la qualification de "sécurisé" est appliqué à un serveur si celui-ci utilise du chiffrement pour les échanges sur Internet. Si l'on parle de SSL (et j'ai tendance à penser que c'est cela), on se relira avec profit des articles récents.
Continuons avec le classement des premiers : non seulement, on se souviendra que la Grande-Bretagne était plus connue récemment pour ses pertes fréquentes et en grande quantité de données mais tous les articles récents relatifs aux Etats-Unis montrent aussi des grandes faiblesses en matière de sécurité et quelques récents scandales également comme le cas Wikileaks...
Certains articles sont également intéressants dans leur interprétation du classement et donne quelques clés de compréhensions supplémentaires.
Vous l'aurez compris, ce classement prône une vision assez orientée des choses (ex. l'usage d'une Smart Grid...) mais apporte une quantité d'informations relatives aux critères choisis qui sont particulièrement intéressantes.
Notons également que cette notion de "puissance numérique" bien qu'elle ne soit pas réellement nouvelle, demeure toujours intéressante à étudier et comprendre, notamment lorsque l'approche est particulière, comme c'est le cas ici.
Source : dans le texte
Par rapport aux "critiques" sur les pays comme les USA ou la Grande-Bretagne, il faut relativiser ce constat car notre vision est biaisée. En effet, ces deux pays sont toujours à la une en matière d'incidents de sécurité car on ne voit qu'eux (l'actu sécu est focalisée sur quelques pays), car ils sont plus transparents que nous (et que d'autres) sur les incidents de sécurité qui s'y produisent (la réglementation et la mentalité anglo-saxonne aidant).
RépondreSupprimerC'est comme la Chine. Elle est accusée d'être l'attaquant n°1 dans le cyberespace. Car les pays touchés sont le plus souvent les USA, le Canada, la Grande-Bretagne (et dans une moindre mesure la France quand l'ANSSI distille quelques informations ciblées au public pour communiquer et sensibiliser). Mais je pense qu'on est d'accord tous les deux pour dire que les USA doivent lancer autant de cyber-opérations que les chinois, sauf que la Chine a rarement l'habitude d'en parler quand elle en est victime.
Tout ça pour dire que ce ne sont pas le nombre d'incidents qui sortent dans la presse qui permet de juger du niveau de cybersécurité d'un pays ou d'un autre. Notre vision est déformée par la littérature anglo-saxonne très abondante sur ces sujets.
Merci pour le commentaire.
RépondreSupprimerTu as raison : ce n'est pas les accidents qui font le niveau de cyber sécurité. Et notamment pour les raisons que tu évoques.
Toutefois, on ne parle pas ici de cyber-sécurité mais d'une notion que je cerne mal et qui est proposé par BAH : la "puissance cyber" en gros. Je ne critique d'ailleurs pas les pays mais la méthode d'analyse et le classement.
A mon sens, le classement est orienté...Pour mettre en avant cette orientation, il faut prendre en compte plusieurs critères dont le fait que le classement ne traite pas ces incidents de sécurité ! C'est un biais dans leur analyse comme le coup des serveurs sécurisé qui n'a pas vraiment de sens.
Oui, d'accord avec toi. Mon propos était plus global et concernait pas spécifiquement le travail de Booz Allen Hamilton qui va effectivement parler plus de "puissance cyber".
RépondreSupprimerQuelques remarques :
RépondreSupprimer- le premier BRIC est 10ème;
- 4 des 5 premiers sont des pays de l'UKUSA (échelon pour simplifier);
- 6 des 10 premiers font partie de l'OTAN ;
- 9 des 10 premiers ont des alliances politiques et militaires fortes avec les Etats-Unis.
Je pense que cela invalide en partie les thèses du basculement du centre de gravité de la cyberpuissance vers l'Asie. Ceci valide en partie ce que j'écrivais en 2010 http://alliancegeostrategique.org/2010/10/24/geopolitique-numerique-omnibus-viis-americam-pervenitur-ii/ puis en 2011 dans Diplomatie et Stratégies dans le cyberespace.
Pour les incidents de sécurité, c'est un critère (subjectif d'ailleurs) de risque plus que de puissance.
Cordialement
S.D.
Merci pour le commentaire.
RépondreSupprimerComme toujours, pertinent et percutant, SD :D
Je trouve très bien vu tes remarques sur les classements.
Je ne sais pas trop si cela peut apporter de l'eau à ton moulin car je trouve l'étude bien trop orientée et donc ne mesurant aucune réalité mais l'impact de leur biais..