Récemment publiée, la Canada’s Cyber Securit y Strategy fait entrer le pays dans un club encore assez restreint des pays mettant en avant une stratégie indépendante vis à vis du cyberespace.
Quoique relativement courte, un peu plus de 15 pages, cette vision est intéressante car elle définit une position officielle et autonome du Canada que l'on évoquait, jusqu'ici,
plus comme partenaire des USA que comme pays autonome en matière de cyber-sécurité.
Ce document,
dont ce blog annonçait la venue il y a quelques mois, concrétise donc des efforts de réflexion attendus.
Quels en sont les points saillants ?
=> Une définition du cyberespace intéressante mais restrictive. Elle se focalise sur l'espace créé par l'interconnexion des réseaux et les informations qui y circulent. Cette définition prend en compte la dimension du cyberespace en prenant en compte les 1,7 milliards d'internautes, le fait que 60% des Canadiens déclarent leurs impôts en ligne ou encore que 67% d'entre eux l'utilisent pour les services bancaires.
=> Quelques données chiffrées : le chiffre d'affaires des ventes en lignes représente 62,7 milliards de dollars canadiens et près de 90% de l'activité commerciale se feraient en utilisant en partie Internet.
=> On apprend également l'existence du Canadian Cyber Incident Response Centre, sans doute le CERT-Canadien.
=> Le Canada considère avec justesse l'évolution de la menace dans la stratégie, ce qui n'est pas si commun. Ainsi, le vol d'identité est très largement pris en compte par la stratégie qui lui donne une place inédite jusqu'ici.
Très justement, la stratégie analyse les 4 facteurs-clés de succès des attaques informatiques à l'heure actuelle : peu chères, assez facile, efficiente, peu risquées.
A cela, il faut ajouter une prise de position forte : les attaques ciblées et les plus pernicieuses ne peuvent relever que des états. Or, cela n'a pas été prouvé car il existe de nombreux groupes criminels ou plus inclassables possédant aujourd'hui des capacités extensives de nuisances par la création de malwares de qualité. Le malware "Zeus" en est un des exemples!
Cependant, si cette stratégie met en avant le poids important de l'aspect militaire ou stratégique des attaques informatiques, elle n'est pas une doctrine militaire. Celle-ci sera visiblement publiée par la suite (ou conservée secrète) et sera le fruit d'une réflexion des autorités militaires canadiennes.
L'analyse de la menace se conclut par une approche équilibrée qui prend garde à ne pas oublier les très grandes capacités des groupes cybercriminels ou les terroristes. Concernant ce dernier sujet, le document se montre prudent en évoquant les utilisations traditionnelles (propagande, organisation, recrutement) mais évoque également l'utilisation d'internet à des fins de perturbations plus profondes (ex. : des OIV comme cibles).
=> La stratégie retenue est tripartie : protéger les systèmes gouvernementaux, inciter et collaborer pour assurer la protection des systèmes non gouvernementaux mais critiques, aider les citoyens à se protéger.
1/ La protection des systèmes gouvernementaux passe par une définition claire des rôles et responsabilités de chacun. La plupart des grands ministères se voit désigné pour une ou des tâches précises.
- des lieux communs : le Treasury Board aura ainsi une responsabilité globale de mise à niveau de la sécurité. La Police Montée assumera une fonction d'investigation en ce qui concerne la cybercriminalité...
- des nouveautés : le ministère des affaires étrangères aura pour rôle de coordonner une "cyber security foreign policy" ce qui reste relativement rare dans les expressions publiques des stratégiques "cyber" tout comme la référence directe aux rôles endossés par les services de renseignement.
2/ La protection des infrastructures critiques sous-entend des formes de partenariats publics-privés. Il est intéressant de constater que le diagnostic reste identique : après tout, le Canada aurait pu conclure que cette protection doit relever uniquement du secteur public par exemple.
En revanche, le Canada semble se focaliser sur les aspects économiques alors que les approches récentes, en France par exemple, intègrent les infrastructures vitales (eau, énergie, transports...) et leur dépendance à l'informatique ainsi que l'interpénétration des réseaux. Cette dimension semble moins perceptible dans l'approche canadienne.
3/ La protection des individus est mis en avant comme renforçant la sécurité globale du pays. A cet effet, le Canada se met en ordre de bataille pour ratifier la Convention de Budapest sur la cybercriminalité.
Par ailleurs, la Police Montée aura la possibilité de créer un Integrated Cyber Crime Fusion Centre permettant la prise en compte des spécificités de la lutte contre la cybercriminalité.
Conclusion : cette stratégie dont la concision et la clarté sont étonnantes au premier abord révèle toutefois un équilibre et une rare complétude. Parmi ses idiosyncrasies, la volonté d'avoir une approche interne/international intégrée et la notion de "communauté de sécurité" où la responsabilité appartient à tous, simple utilisateur, entreprises et gouvernements. D'un autre côté, l'aspect militaire parait très léger alors qu'il est bien plus prégnant ailleurs (comme en France) ainsi que la dimension informatique des infrastructures critiques.
Cette stratégie n'est pas sans rappeler le document "National Strategy To Secure Cyberspace" publié aux Etats-Unis en 2003.
Source :
http://isc.sans.edu/diary.html?storyid=9661&rsshttp://www.publicsafety.gc.ca/prg/em/cbr/ccss-scc-eng.aspx
