vendredi 28 juin 2013

Café Stratégique - Venez rencontrer vos blogueurs préférés - Jeudi 4 Juillet 2013 !

Vous nous lisez, vous nous connaissez par le web...Pourquoi ne pas venir nous rencontrer pour ce dernier café avant l'été afin d'échanger de manière informelle ?


dimanche 9 juin 2013

CyCon vs. SSTIC ? Sortir des oppositions...

Mon invention : ne pas rire !
 La semaine dernière se déroulaient deux évènements importants pour tout acteur un tant soit peu concerné par les questions de lutte informatique ou de sécurité des systèmes d'informations.

D'une part, le CCD COE organisait la CyCon, conférence dédiée aux questions doctrinales et stratégiques liées aux "cyberconflits". Celle-ci se déroulait à Tallin, en Estonie où se trouve le centre. Pour mémoire, le CCD COE est un centre de réflexion consacrée aux questions de lutte informatique qui entretient des liens privilégiés avec l'OTAN.

D'autre part, avait lieu le SSTIC, évènement de premier plan dans le milieu de la SSI française et qui existe depuis maintenant 11 ans. Pour mieux marquer l'éloignement, celui-ci avait lieu à Rennes qui rassemble, il est vrai de multiples entités "télécom" et qui tient une place important en matière de rayonnement SSI. Si le sujet vous intéresse, d'autres conférences parisiennes comme NSC ou encore la NDH ont lieu désormais depuis quelques temps et s'avèrent de très bon niveau.

Ayant eu la chance de participer au SSTIC durant ces 3 jours, j'ai pu avoir quelques échos au sujet de la CyCon. Pour ceux qui s'intéresseraient à ces conférences, l'excellent blog n0secure s'est fait un devoir de rendre compte des différentes conférences et des conclusions majeures.

Or, il suffit de comparer le compte-rendu de Cycon signalé ci-dessous ou encore son programme avec par exemple la dernière conférence du SSTIC pour constater ce qui semble, il est vrai, un profond fossé (pour dire le moins) !

D'un côté, la croyance dans les dialogues "cyber" rencontre peu d'adhésion de la part des experts techniques assistant au SSTIC. De l'autre côté, la vision "technique" des décideurs, stratèges et militaires semble bien différente du niveau d'expertise atteinte par les spécialistes en sécurité comme en témoigne les sujets que l'on peut découvre dans le "technical track" de la CyCon...

Avant que l'on oppose l'argument de la différence SSI/LID, je tiens à rappeler car la plupart des perspectives prises par les présentateurs au SSTIC étaient clairement offensives...Il s'agissait moins de défendre que de comprendre les attaques et en dessiner les chemins. 

Autrement dit, et hors toute planification militaire, sécuritaire, technique ou tactique, la probabilité que les auteurs des futures attaques et de leurs aspects techniques se rencontrent lors de ces conférences techniques me parait très forte. De plus, il me semble impossible de créer des capacités de cyber-défense, qu'elles soient offensives ou défensives sans une base d'experts chevronnés, une problématique dont l'ampleur a été rappelé plusieurs fois et notamment dans le livre blanc.

Par ailleurs,considérons un instant qu'il soit nécessaire de développer des capacités de lutte informatique offensives et défensives qui dépassent largement le cadre plus classique de la sécurité informatique ou de la sécurité de l'information : cela signifie donc qu'il est plus que probable que nous soyons attaqués par ce biais d'une part mais également que nos autorités estiment qu'il est nécessaire de préparer des plans ou des modèles d'attaques...

Cette hypothèse étant posée - et elle est jugée préoccupante par le dernier livre blanc - il est donc absolument nécessaire que les modèles d'attaques et de défense se basent sur une information technique à jour, intègre et complète. Or, cette dichotomie croissante que je crois percevoir entre les tenants d'une approche stratégique et ceux qui préfèrent une vision d'expertise technique me semble le meilleur moyen de ne pas y arriver. 

Rappelons également un fait simple : les attaques informatiques, même d'envergure, existaient bien avant que les décideurs politiques ou militaires n'en perçoivent la portée stratégique et décident de l'utiliser. Autrement dit, toute stratégique, tactique ou volonté liée à la défense ou à l'action offensive en matière informatique ou "cyber" ne pourra que se reposer sur la matière technique en premier lieu. 

Il semble donc que pour y être efficace, le cheminement soit d'abord vers les approches techniques afin d'en comprendre la complexité pour ensuite les conjuguer aux besoins stratégiques de la défense. Et non pas l'inverse...

Concluons donc ainsi : il me semble aujourd'hui percevoir un écart croissant entre les professionnels de ces deux mondes que nous évoquons ici. A mon sens, un rapprochement semble nécessaire afin que les "plans" des uns ne soient pas bâtis sans lien avec la réalité des autres. Selon mon opinion, ce rapprochement a plus de sens, aujourd'hui et dans un premier temps, des stratèges vers les techniciens.

Pourquoi ce "sens" me demanderez-vous ? Tout simplement car la portée "stratégique" d'une attaque informatique n'implique pas nécessairement l'usage d'outils hyper-spécifiques (parfois si, bien sur) et l'expérience ou "l'antériorité" en matière d'attaques informatiques se trouve du côté de l'expertise technique. Ne pas s'y résoudre serait prendre le risque de se déconnecter de la réalité tout en n'oubliant pas que nous avons un certain retard en la matière. 

Pour terminer cet article, il me parait nécessaire de rappeler que la perception que nous pouvons avoir de cette distance croissante entre les mondes est liée à la publication de nombreux articles par des auteurs qui n'ont pas toujours une grande expérience du milieu ou encore des actions opérationnelles. Au contraire, les responsables de notre défense et de notre sécurité sont au contraire astreints à une discrétion de bon aloi qui ne permet pas nécessairement de mesurer leur positionnement : peut-être sont-ils épargnés par la tendance décrite ici...Mais cela n'empêche pas d'écrire et de réfléchir "à haute voix" !

Source :

dans le texte