Une fois n'est pas coutume, un article analytique très intéressant développe une thèse selon laquelle les systèmes actuels de cyber-défense américains et européens ne sont absolument pas adaptés aux menaces du moment. Ce billet aura pour but d'en exposer les principaux arguments :
Ainsi, Chris C. Demchak reproche-t-elle aux entités comme le Cyber Command de perpétrer une vision trop militaro-centrée qui répondrait par exemple à des pratiques agressives que l'on pourrait observer dans une guerre déclarée. Cette situation ne serait ainsi pas propre à développer une capacité de résilience face aux attaques informatiques modernes.
Si le fait de confier le poste de chef du cyber-command et directeur de la NSA à un seul individu semble apporter un gain de compétences et de ressources, l'auteur trouve que les restrictions légales empêchant par exemple la NSA d'apporter son aide ou ses compétences aux domaines civils n'est pas souhaitable. Selon elle, c'est priver l'ensemble des secteurs critiques d'une aide précieuse que le DHS ne peut prétendre aujourd'hui apporter.
La séparation des rôles étant pour elle une forme de relique de la guerre froide, il prétend au contraire que dans un monde interconnecté au sein duquel la porosité des frontières est patente, cela ne peut suffire. De plus, l'action de la criminalité organisée tend à poser autant de problèmes que les menaces étatiques et profiter de telles organisations.
Du côté européen, l'auteur analyse nos dispositifs comme une suite d'actions nationales à vocation économiques essentiellement : il s'agit de protéger nos intérêts économiques en s'appuyant sur l'acteur majeur du secteur, le FAI. Selon elle, une telle approche qui sous-estime également la transnationalité de cette forme de criminalité est un facteur d'échec.
Elle retient enfin 9 attitudes ou critères permettant d'éclairer ces manquements :
- une analyse trop tournée vers le conflit inter-étatique qui empêche de prendre en comptes les attaques actuelles et ses effets dramatiques sur notre système "socio-technical-economic";
- nous séparons trop la résilience des perturbations notamment dans l'analyse et l'affectation des ressources ;
- trop d'importance est donnée aux systèmes militaires, gouvernementaux ou critiques (du secteur privé) au détriment des secteurs et systèmes ayant un rôle prépondérant dans le bon fonctionnement de nos économies ;
- nous sous-estimons la "puissance" de la criminalité ;
- trop d'investissements sont faits afin de renforcer un système qui est par sa conception non propice à la sécurité (j'en parlais ici) au lien de renforcer les bases, notamment de l'internet ;
- l'approche de la sécurité est encore trop technique, ignorant les interactions entre humain et technologique, en particulier les comportements qui tendent à rechercher les failles d'un système ;
- le coût de la résilience ou des perturbations ne sont envisagés qu'à court terme et ignore les impacts de long-terme, créant des vulnérabilités exploitables par un adversaire déterminé ;
- il y a trop peu d'investissement dans la formation, la connaissance et le capital humain de la cybersécurité. En particulier, les intérêts décidant des priorités de formation sont trop liés à des priorités économiques de court-terme ;
- l'usage de l'approche par les risques ou par l'assurance contre les effets de la réalisation de ces risques au lieu d'une approche intégrée multinationale encourage les attaquants à cibler de multiples états ;
Cette analyse très tranchée de l'organisation de la cyberdéfense présente de nombreux aspects intéressants, en particulier sur la séparation des acteurs et des périmètres de responsabilité ou encore les démarches logiques utilisées dans l'analyses des menaces ou enfin sur le manque de maîtrise du système dans son état actuel.
Au contraire, certains aspects sont tout à fait ignorés comme par exemple le fait que les restrictions imposées à la NSA peuvent provenir d'un souhait de protéger les libertés individuelles. Quant à certains aspects, ils demeurent parfois nébuleux. Enfin, on s'interroge sur les indicateurs utilisés pour affirmer que la criminalité est moins prise en compte que l'action sur les système dits "stratégiques" par d'autres états.
Ce texte demeure toutefois très éclairant et pourra utilement nourrir toute réflexion ultérieure sur la construction de capacités de "cyber-défense".
Source :
Aucun commentaire:
Enregistrer un commentaire