lundi 18 octobre 2010

R.I.P. pour l'indépendance de la cybersécurité américaine !

Elle n'aura pas fait long feu cette indépendance de la cybersécurité. Malgré les dénis répétés du Commandant en chef de l'US CYBERCOM, les militaires américains disposent désormais d'un "droit de regard" sur la cybersécurité américaine dans son ensemble...

Pourquoi et Comment?

Le "comment" est relativement simple : il s'agit d'un accord entre deux ministères d'envergures aux Etats-Unis : le Départment of Homeland Security ou DHS et le Department of Defense ou DOD.

Cet accord prend la forme d'un MOA ou Memorandum of Agreement portant sur la cybersécurité.

Il est disponible librement sur le sites du DHS conformément aux draconiennes lois sur les publications publiques des Etats-Unis.

On notera que ce document reste court et concis et ne doutons pas que certains protocoles d'accords plus opérationnels demeurent sous le sceau du secret. Rien de plus normal !

Voilà pour le "comment". Le "pourquoi" est évidemment plus intéressant.

En effet, m'intéressant régulièrement aux publications et à la littérature spécialisée outre-atlantique, j'ai pu constater que le DHS bénéficie d'une mauvaise presse en matière de SSI et qu'il fait figure de mauvais élève.

Par ailleurs, malgré les moyens remarquables mises en oeuvre, nos alliés ont réalisé qu'aucune organisation ne disposait à l'heure actuelle des capacités importantes (et sans doute parfois fantasmées) de la NSA.

Cenpendant, cette organisation est loin de faire l'unanimité et a une emprise incontestable sur toutes les questions de sécurité informatique au sein de l'administration des Etats-Unis. L'actuel dirigeant de l'ICANN, Rod Beckstrom, ancien chef de la National Cyber Security Division, avait en effet rapidement démissionné de ce poste arguant justement de l'insupportable main-mise de l'agence sur toutes ces questions.

C'est ainsi que le document prévoit la mise en place d'un agent de liaison du DHS, en poste permanent à la NSA bien qu'exclu de la chaine de commandement opérationel de l'agence (Point 3). Cette coopération s'étend d'ailleurs aux questions des achats, des choix technologiques ou encore de l'identification des menaces.

Cette association sera matérialisée par un Directeur du DHS ainsi que par d'autres personnels. Le Directeur en question aura également l'opportunité de représenter le DHS auprès du Cyber Command dont on connait les liens ténus avec la NSA (même Commandant et même localisation géographique). Ce personnage-clé de l'accord aura également un rôle très fort de "synchronisation" et de valorisation du lien entre les deux organisations ainsi que la divulgation précoce des menaces dans le cadre du partenariat public-privé.

Du côté de la NSA, cet individu sera accompagné par un alter-égo qui prendra en charge notamment toute les questions matérielles et il en est de même au niveau de l'US CYBERCOM.

La lecture de cet accord m'oblige toutefois à revoir mon avis premier. En effet, il parait légèrement disproportionné en faveur du DHS. Celui-ci dispose en effet d'une personnalité-clé à qui la NSA et le CYBERCOM réfère sans cesse et apporte leur expertise.

Par ailleurs, l'apport de l'expertise reste relativement unilatéral : des éléments de coopération du CYBERCOM et des services cryptographiques de la NSA seront en effets transférés et localisés dans les locaux du NCCIC : National Cybersecurity and Communications Integration Center.

On est donc en présence d'un accord qui, à priori, tente de préserver les pré-carrés de chacun des "ministères" tout en reconnaissant l'urgent besoin du DHS en matière de compétences de pointe en sécurité informatique.

Par ailleurs, on remarquera que le "sens" de la collaboration révèle un souhait de préserver les réseaux et systèmes informatiques américains "civils" de "l'intrusion" du DoD et donc limiter la main-mise des militaires dans les réseaux civils.

Cet accord, bien que public et limité vis-à-vis de ce que sera son application réelle, révèle donc un souhait de préserver un statu-quo. Déséquilibré par nature, il donne au DHS plus de pouvoir pour gérer la coopération et les échanges. Mais sans compétences réelles, il n'en reste pas moins que c'est bien la NSA qui apporte ses savoir-faire et non pas l'inverse...

Les Etats-Unis auraient-ils ouvert la boite de Pandore ???

Source : http://www.dhs.gov/ynews/releases/pr_1286984200944.shtm

2 commentaires:

  1. Ne serait-ce pas un moyen détourné d'augmenter la collaboration entre les secteurs public/privé?

    Si le DoD a un droit de regard sur les activités de cybersécurité exercées par le DHS, mais que, comme vous l'avez signalé c'est la NSA/US CYBERCOM qui apporte le savoir-faire, le civil et le militaire seront moins "séparés" ; le secteur civil et le militaire devront inévitablement échanger plus d'informations sur les différentes menaces, et ainsi on arriverait à cette collaboration plus étroite entre les deux secteurs, telle que voulue par l'administration Obama.

    Bien sûr tout cela dans les limites légales déjà existantes, mais on pourrait le percevoir comme un premier pas dans ce sens.

    RépondreSupprimer
  2. Bonjour Vincent et merci de votre commentaire !

    Votre analyse est juste. Effectivement, une plus grande collaboration entre les secteurs civils et militaires peut être profitable notamment grâce aux compétences que semble posséder la NSA par rapport aux efforts du DHS, bien moindre.

    Dans ce cas, pourquoi alors faire mystère de ce choix et proclamer partout que l'US CYBERCOM, nommément désigné dans l'accord, ne s'occupera que des réseaux militaires...C'est cette absence de corrélation entre faits et déclaration qui me parait étonnante.

    Dans le même ordre d'idée, il me semble que le militaire a une fonction spécifique et des usages spécifiques désignant une organisation...spécifique.

    En France, l'ANSSI relève du SGDNS (Défense & Sécurité...) et la place particulière du SGDNS en fait justement un acteur de choix - expert mais non décideur ou opérationnel - (d'après moi).

    Pour en revenir à votre propos, notre organisation relie d'une manière sécurité "civile" et défense tout en préservant l'indépendance des domaines. Aux Etats-Unis, la situation parait moins tranchée. Vous pourriez cependant avoir tout à fait raison : ce découpage est peut-être absurde ! Mais là, je ne me reconnais pas assez d'expertise pour trancher :)

    RépondreSupprimer