Où l'on reparle de " Digital Pearl Harbor"

La crainte du Pearl Harbor est bien ancrée dans l'esprit des américains, l'histoire leur ayant enseigné le danger de mettre tous ses oeufs dans le même panier. Il n'est donc pas anormal de voir ressurgir aujourd'hui cette crainte mise au gout du jour, sous forme "électronique" cette fois-ci.

C'est en substance ce que retient un article que je souhaite ici diffuser intéressé par son contenu et son ton qui le différencient nettement des autres. La lecture des sources anglo-saxonnes, américaines notamment, dévoile une vision partagée, à forte tendance alarmiste voire paranoïaque.

Même Ira Wrinkler pour qui cette notion paraissait encore récemment tout à fait farfelue, s'est désormais rangé à l'avis majoritaire (dans les parutions et les médias), échaudé par la mis en place de la "Smart Grid", ce système dit "intelligent", basé sur l'informatique et censé gérer la fourniture d'électricité aux USA.

Cette article considére que bien que les menaces informatiques soient tout à fait réelles, il faut bien prendre en compte la difficulté que représente l'anéantissement d'un réseau dans son ensemble. Il affirme que si une flotte entière reste assez difficile à détruire entièrement, le cas d'un réseau informatique est encore plus problématique.

Plus encore et c'est là son point fort, il remet en perspective la notion même d'attaque informatique : celle-ci ne se conçoit que dans une phase d'attaque militaire concertée pour atteindre un niveau de type "Pearl Harbor"...Selon lui, une attaque de type cyber-terroriste, pour peu qu'elle puisse atteindre un tel niveau de dommage, aurait au final un impact limité car, par nature, les terroristes auraient du mal à profiter pleinement de l'opportunité stratégique offerte par une telle panne.

Bref...un article pondéré, au ton neutre et particulièrement instructif !

Source : http://gcn.com/Articles/2009/12/04/digital-Pearl-Harbor.aspx?Page=1

Un peu de gouvernance...internet

Le thème du jour est la Gouvernance Internet mais avant, une petite précision. Ce blog se dédie notamment aux questions de "cyberwarfare" comme l'indique son titre mais il se veut également une vitrine de réaction plus rapide pour CIDRIS...Or, CIDRIS veut aussi dire "Cyberespace, Internet in Défense, Relations Internationales et Sécurité"...

Pourquoi une telle précision : la Gouvernance d'Internet n'est PAS une composante de la "cyberguerre" - et ce terme mérite sans doute plus de travail de définition. L'art de la guerre informatique ou "cyberwarfare" se compose d'un ensemble d'acteur, de tactiques, de stratégiques...conçus dans une optique d'affrontement ! On ne peut pas tout mettre dans la "cyberguerre" comme on peut parfois le lire !

La Gouvernance d'Internet est ainsi un ensemble d'acteurs, d'organisations et de processus dont le but est bel et bien d'apporter une forme de régulation à certains niveaux d'Internet. Historiquement, la Gouvernance d'Internet "appartient" à l'ICANN avec toutes les limites qu'apporte un tel raccourci. Or, en matière de télécommunications, le monde disposait préalablement de l'UIT ou Union Internationale des Télécommunications, organisation inter-gouvernementale..

L'histoire veut ainsi que l'on rapporte la génèse de la gouvernance d'internet et son parcours comme un affrontement entre ces organisations. Un récent article de Milton MUELLER détaille ainsi, avec son franc-parler, cette opposition. Il les range cependant dans la même catégorie, en n'ayant sans doute pas tout à fait tort, en raison de leur incapacité à gérer correctement un modèle de gouvernance réellement multi-acteurs..Il explique ainsi les réticences de la Chine ou de la Russie devant des modèles qui, quel qu'il soit, ne sont pas satisfaisants. Chacun jugera !

Par ailleurs, la gouvernance présente tout de même des liens avec la sécurité globale et la résilience du réseau. Ainsi, l'implémentation mondiale de DNSSEC, soutenue par la vague de crainte occasionnée par la "faille" Kaminsky est une vraie question de sécurité mais aussi de moyens financiers et de problèmes techniques...

Un récent article nous donne ainsi quelques éléments financiers : l'US Air Force a récemment attribué à un prestataire un contrat de 4 millions de dollars pour la mise en place du système au coeur de son réseau. Une indication financière utile alors que les coûts de déploiement restent encore un problème et que l'on attend encore les retex des registres et organisations qui tentent actuellement de le mettre en place.

Par ailleurs, la même société est dirigée par Steve CROCKER, également chair du SSAC (un comité de l'ICANN chargé des questions de sécurité et également membre du board de l'ICANN...Bref, vous l'aurez compris, l'auteur de ces lignes a souri et apprécié les interventions de M. MUELLER qui, en incontestable trublion, nous offre ici des informations intéressantes...

Notons cependant que sa position de libérale forcené est parfois incompréhensible aux regards des enjeux : il souhaite ainsi que le standard DNSSEC puisse laisser la place à des outils de chiffrement choisis sous le régime de la concurrence. La prégnance de RSA dans la structure dévoilée par le trio ICANN-NTIA-Verisign serait néfaste pour les BRIC et leur capacité à intégrer l'internet global avec la croissance des utilisateurs.

Une fenêtre sur la gouvernance d'internet...

Source : http://blog.internetgovernance.org/blog/_archives/2009/11/20/4385849.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+IGPBlogCombined+%28IGP+Blog+Combined%29

http://blog.internetgovernance.org/blog/_archives/2009/11/10/4377271.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+IGPBlogCombined+%28IGP+Blog+Combined%29

http://blog.internetgovernance.org/blog/_archives/2009/11/7/4373694.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+IGPBlogCombined+%28IGP+Blog+Combined%29

Plaidoyer pour une doctrine

Dans un réflexe très français, je vais un peu critiquer : un grand nombre d'articles disponibles font de la cyberguerre un évènement presque commun. Dans leurs analyses, on observe très souvent le raccourci simpliste qui consiste à dire que l'IP d'un ordinateur que l'on peut rattacher à un pays par une simple requête "whois" implique le pays..

Cette "analyse" qui n'est pas une oublie que le propre d'une atteinte informatique est de dissimuler la source exacte. Ca rend les choses plus compliquées...

Aussi, lorsqu'un article apparait qui va plus loin dans cette analyse, je fais en générale l'effort de lire jusqu'au bout. Lorsqu'en plus, l'article affirme qu'il faut des critères précisément définis pour analyser la situation de guerre informatique, alors je deviens extatique.

L'auteur livre par ailleur des conclusions selon lesquels les conflits médiatisés comme les événèments géorgiens ou estoniens ne peuvent être qualifiés de cyberguerre. Plus encore, il affirme que les états disposant de réelles capacités en la matière hésitent à les employer par peur de retour de baton..

La situation serait ainsi proche d'une sorte de Guerre Froide avec une forme de dissuasion de première génération ou MAD : Mutuelle Destruction Assurée...

Je vous laisse à votre tour profiter de cet excellent article : http://gcn.com/Articles/2009/11/30/Cybereye-cyberwar-doctrine.aspx?Page=1

UK & Cyberdefense

Le Cyber Security Operations Center, organisme anglais en charge de toutes les questions relatives à la protection du cyberespace anglais devrait être opérationnel pour Mars 2010.

En charge également de la très "chaude" problématique des infrastructures vitales, il sera animé par 19 personnels avant d'envisager un élargissement des ressources humaines. Celles-ci devront être animées de "l'esprit hacker".

Il sera supervisé par le Cabinet Office qui gére également l'Office of Cyber Security, chargé quant à lui des stratégies et programmes transverses du gouvernement anglais. Le scope de cette agence est plutôt l'infrastructure IT britannique tandis que le CSOC privilégie la question des infrastructures critiques.

Source : http://news.zdnet.co.uk/security/0,1000000189,39877965,00.htm & http://news.zdnet.co.uk/security/0,1000000189,39667231,00.htm

FRANCE 24 : reportage sur la cyberguerre

Une émission consacrée à la "cyberguerre" par France 24. Son invité, Daniel VENTRE, a consacré plusieurs ouvrages très intéressants à la Guerre de l'Information. En particulier, il est un des rares experts à avoir publié une liste importante des efforts doctrinaux et organisationnels entrepris par plusieurs pays dans le domaine.

Sans que cela ne soit étonnant, je m'inscris un peu en faux contre certains propos alarmistes et mal pesés des journalistes dans la parti vidéo. En revanche, les leçons données et les propositions formulées par certains interviewés sont à retenir.

On remarquera le symbole qui représente la cyber-défense au début, lors de la conférence otanienne : une résultante entre la Loi, la Technique et les politiques. Autrement dit, une approche humaine/organisationnelle, une approche technique et une approche juridique. Éminemment vrai !

Source : http://www.france24.com/fr/20091026-cyberguerre-ANSSI-OTAN-cybercriminalit%C3%A9

Nouveau centre pour la NSA

Un nouveau centre dédié aux questions de cybersécurité est actuellement en cours de constructions à proximité de Salt Lake City dans la zone de la National Guard de l'UTAH. Parrainé par la NSA, ce centre s'inscrit dans la continuité de la Comprehensive National Cybersecurity Initiative lancée par l'ex-président G.W. Bush.

On retiendra le coût exorbitant (1,5 milliard de dollars) et les objectifs, à priori, de cette installation : fournir une capacité unifiée de connexion aux différentes agences et administrations américaines afin d'en améliorer la sécurité.

Source : http://www.computerworld.com/s/article/9139915/NSA_to_build_1.5B_cybersecurity_center_near_Salt_Lake_City

Conformité : bien mais peut faire mieux !

Une réaction intéressante encore une fois aux Etats-Unis où l'évaluation des politiques et pratiques de sécurité est très largement commentée. Vivek Kundra, membre du GAO (la cour des comptes américaine) s'est ainsi exprimé devant le Congrés et a émis l'hypothèse que le niveau de "cyber-sécurité" était encore trop bas notamment à cause d'une approche trop "scolaire" du FISMA.

Le FISMA est une loi qui définit les obligations relatives au management de la sécurité de l'information, notamment pour les administrations et autres agences américaines. Kundra dénonce à ce niveau une approche de type "conformité" tout à fait regrettable. En effet, tous les efforts entrepris en ce sens, bien que remarquable, ne sont pas aptes à garantir une sécurité de l'information efficace.

Certains experts ont déjà, par ailleurs, critiqué de telles approches "conformité" appliquées à l'ISO27002 qui engendrent des effets désastreux en termes de coûts sans parfois élever efficacement le niveau de sécurité. L'application de cette norme se concevant dans une démarche de management des risques et de mesures répondant aux risques existants et mésurés.

Un esprit taquin ajouterait par ailleurs que les obligatoires audits pratiqués aujourd'hui sont un peu dans la même veine. Ils répondent à un besoin ancien (prévenir les scandales de "type" ENRON) et s'ils apportent une forme de certitude sur les comptes et la bonne gestion des entreprises, ces mêmes audits n'ont pas été utiles pour prévenir la crise que nous connaissons aujourd'hui. Les obligations d'audit n'étant, en effet, pas prévues pour mesurer ces risques précis et les organisations contrôlées se focalisant sur le respects des principes et éléments garantissant un audit aux résultats favorables.

Il ne faut pas voir ici une critique de l'approche normative, bien au contraire, car elle est un élément majeur et indispensable mais les critiques de la GAO rappellent qu'au-delà des normes, la sécurité est parfois également une affaire d'intelligence et de bon sens.

Source : http://gcn.com/Articles/2009/10/30/Cybersecurity-hearing-Congress-Kundra.aspx?Page=1