lundi 9 mai 2011

Terminologie et Vocabulaire...dans le cyber

La question du lexique et du vocabulaire utilisés pour analyser les actions informatiques offensives est délicate. Quelques temps plus tôt, ce blog publiait une tentative de lexique pour essayer de limiter l'usage mal informé de certaines termes.

S'il existe un domaine où les mots ont leur importance, c'est bien le droit. Les termes d'un contrat sont précisément choisis pour ne laisser aucune place à l'interprétation. Certains droit, comme le droit pénal, ne prêtent pas le flanc à une interprétation des textes et certains cas (comme la filouterie) en montre bien la nécessaire précision.

Plus encore que le droit interne, le droit international ou encore les traités internationaux sont un domaine au sein duquel les termes ont leur importance. Pire encore, il n'est pas rare que l'usage de plusieurs langues trahissent l'objectif. Parfois, un texte international rédigé en 3 langues ne fait foi que pour l'une d'entre elles. Bref...on le voit, la terminologie ne s'écarte pas à la légère.

Lecteurs avisés et attentifs de ce blog, vous vous souviendrez de la conduite de négociations essentiellement entre Russie et Etats-Unis sur les cyberconflits. Ces négociations ont ainsi conduit d'influents think-tank à proposer des approches nouvelles. En particulier, l'East West Institute que l'on avait déjà vu lors du Premier Sommet sur la Cyber Sécurité.

Lors de la 38ème conférence de Munich sur la Sécurité Internationale, l'organisation a dévoilé la publication d'un premier rapport co-dirigé par des chercheurs russes et américains tentant d'apporter le contenu des conventions du droit humanitaires (Conventions de Genève et de la Haye), en particulier le droit des conflits armés au domaine cyber et à ses conflits. Ce blog n'en dira pas plus sur ce rapport pour le moment mais vous proposera bientôt une analyse approfondie de ses conclusions (chut! surprise...).

Toutefois, c'est un second rapport intervenu peu après qui motive ce message et cette dernière publication se consacre bel et bien aux questions de vocabulaires. Ce document fournit également la première version officielle et internationale de définitions jusqu'ici inexistantes. Voici ce que ce blog en retient.

Tout d'abord, retenons que le document fonde sa légitimité sur celle des deux Etats, qualifiés ici de "cyber superpower" mais également leurs capacités de gestion de l'équilibre nucléaire. Les auteurs en concluent qu'ils sont fondés, en tant que représentants d'une forme de pensée et d'une histoire entre les deux états, à proposer des définitions de portée globale. Notons tout de même que la notion de "cyber puissance" n'a pas été définie...Je veux bien croire cependant que les deux pays sont les principales cyber-menaces au regard du dernier classement de Arbor Networks (mais dans ce cas, nous sommes aussi une super cyber menace...bref...).

De manière très ouverte, les auteurs partagent également les problèmes en particulier l'approche bien particulière qu'a la Russie de l'information : celle-ci est naturelle ou artificielle par exemple. Elle doit également ne pas se limiter au cyber mais le cyber doit entrer plus globalement comme les autres sources d'informations dans le "corpus" à protéger. Enfin, la notion de sécurité demeure différente et s'entend plus comme "protection" incluant l'ensemble des aspects : humain, social...

Ce blog s'était déjà fait l'écho de cette dissymétrie dans l'approche et la conception du cyber, de l'information ou de la sécurité.

Plus globalement, les définitions se regroupent en 3 catégories : Définition du théâtre, Définition des modes de conflits (je traduis librement) et les modes d'actions.

Sur la définition de cyberespace : "Media électronique au travers duquel l'information est créée, transmise, reçue, stockée, utilisée et détruite".

On pourra retenir une approche intéressante et consensuelle puisque la définition ne reconnait pas l'approche "domaine ou espace" mais bien un "media" ou l'information connait une forme de cycle de vie. Par ailleurs, la notion de "electronic"' et les commentaires laissent entrevoir une considération renforcée des aspects physiques et structurels que l'on retrouve dans la définition des cyber infrastructures. Peut-être la définition la plus simple mais également la plus intéressante.

On notera également que les cyber infrastructures ne sont pas seulement techniques : l'humain en fait partie. Elles peuvent également être critiques lorsqu'elles participent au bon fonctionnement des composants critiques du cyber-espace.

Logiquement les composant critiques du cyber-espace sont notamment les cyber-infrastructures et les cyber-services (échanges d'information au bénéfice de l'humain) qui sont vitaux pour la préservation de la sécurité (publique, nationale...), l'économie et la stabilité internationale.

Dans les modes de conflits, on retiendra :

La cybercriminalité consiste en l'usage du cyberespace à des fins prohibées par la loi nationale ou internationale (classique). A priori, cette définition serait en cohérence avec les définitions proposées par la Convention de Budapest, en particulier le Préambule qui statue que "les réseaux informatiques et l'information électronique utilisés également pour commettre des infractions pénales et que les preuves de ces infractions soient stockées et transmises par le biais de ces réseaux".

Décevante en revanche est la définition du cyber-terrorisme qui ne fait que recopier la définition précédente. Cette définition ne prend pas de risque et ne tient pas compte d'une forme de réalité des actions terroristes et des usages par ces groupes du cyberespace.

Un cyber-conflit, en revanche, est défini comme une situation tendue, entre États ou groupes organisés résultant en attaques informatiques (cyber attaques). On en comprend donc que ne sont pas inclus les attaques informatiques lors de conflits déclarés mais que les États ne sont pas les seuls à être victimes ou responsables d'attaques. A noter que le document précise que cette définition souhaite englober les attaques physiques contre les cyber infrastructures.

Cette définition prend clairement partie en limitant son champ d'application, ce qui peut paraitre logique car le problème se pose plus souvent lors de situations tendues que lors de situations de conflits déclarés ou on se pose, au final, moins de questions.

Vient alors la définition tant attendue de "cyber war". Celle-ci est définie comme un stade avancé ou aggravé du cyberconflit. Se limitant aux échanges entre États uniquement, les attaques visant notamment les cyber-infrastructures. Elle se déroule dans le cadre d'opérations militaires de fait mais pas forcément dans une guerre déclarée (au sens juridique).

Il me parait très important de noter que ces attaques se déroulent dans un état de guerre de fait ou déclarée existant préalablement à ces attaques (sinon, c'est du cyber conflit) et que ces attaques impliquent forcément deux acteurs politiques. Sans cela, il n'est pas question de "guerre". L'auteur de ces lignes ne voit pas vraiment de critiques à porter contre cette définition qui semble circonspecte autant que cohérente.

La cybersécurité présente aussi de nombreux aspects intéressants car elle est présentée comme une propriété du cyberespace à résister à des menaces volontaires ou non, y répondre et à s'en relever. On notera ici que cette définition semble s'appliquer au cyberespace dans son ensemble et non à des systèmes d'informations particuliers. Ce n'est donc pas un autre nom de la SSI...

Au niveau des modes d'actions, on retiendra :

Cyber Warfare : les actions utilisées contre des infrastructures du cyberespace (comprenant donc les systèmes d'informations particuliers) par des acteurs étatiques dans le cadre d'un conflit déjà en cours.

Parmi les autres définitions, on retiendra surtout la considération des contres-attaques, thématiques important pour les Etats-Unis mais également le fait que la Cyber-défense ne présente aucun lien fort avec la Défense (au sens Défense Nationale).

Le document présente également une notion intéressante de cyber-dissuasion basée non seulement sur le développement d'une capacité offensive mais également le fait d'avoir des politiques, une posture affichée, des alliances...Bref, il s'agit plus d'intimidation au sens classique que de dissuasion dans son sens "nucléaire". Je demeure sceptique sur la matérialisation de ce concept notamment considérant les opportunités de dissimulation des attaques et surtout celles permettant de faire porter la responsabilité à un tiers.

Cet effort de conceptualisation constitue donc une première notamment en ce qu'il est international et dispose d'une forte audience potentielle. Ses auteurs pouvant être considérés comme des représentants de certaines approches gouvernementales, on peut également sentir les effets du consensus sur certaines définitions. Si certaines laissent un peu perplexes dans leur contenu ou leur désignation, d'autres, au contraire, apportent une vraie valeur ajoutée et rompent avec un flou malséant. Une lecture très intéressante donc et une initiative à suivre...

Source :

http://www.infowar-monitor.net/2011/04/russia-u-s-bilateral-on-cybersecurity-critical-terminology-foundations/

2 commentaires:

  1. Ca me rappelle quand je faisais des évaluations critères communs en version 2.4 en anglais et qu'on se basait en fait sur la 2.2 qui elle avait eu une traduction officielle en français (modulo la prise en compte des quelques modifications de la 2.4).

    Les normes ISO ont également des commités de traduction qui revoient régulièrement le vocabulaire à utiliser pour traduire la norme.

    RépondreSupprimer
  2. Je vois de quoi tu parles :)... Sur ISO, j'en entends parfois parler et sur les RFC aussi :)

    Après, ici, il s'agit surtout de "stratégie" et de permettre ensuite de poser les bases d'un texte politique (le traité...)...Objectif différent mais problème comparable, je suis bien d'accord!

    Merci pour le commentaire.

    RépondreSupprimer