Quelques éléments nous conduisent à interroger la notion d'offensive dans le cyberespace. En particulier deux :
- la publication par la Finlande d'une stratégie de lutte informatique aux relents offensifs
- un discours orienté de la secrétaire d'Etat du DHS, Janet Napolitano.
Dans le cas de la Finlande, il s'agit d'un document proposé par le Ministère de la Défense. Ce point peut-être intéressant car, par exemple, aux USA, il existe des documents de très haut niveau stratégique en complément de document publié par les armées. Ici, on est donc à un niveau "intermédiaire" : ce n'est pas une doctrine d'emploi mais pas non plus une stratégie nationale.
Or, ici, la Finlande ne fait pas mystère du développement de capacités offensives afin d'offrir une "Plateforme de Réponse crédible". Si l'on reprend les mots d'un officiel, celui-ci considère que la "meilleure défense demeure l'attaque" et qu'on ne peut être ni crédible ni efficace sans capacité offensive.
Il est à noter que ce document demeure un "draft" et non encore une position officielle, celle-ci étant espérée pour 2012 par les autorités. Il semble aussi intéressant de retenir que ce cheminement de pensée semble être inspiré par la Suède qui a subi en 2009 des attaques informatiques relativement importantes. Par ailleurs, la Finlande semble collaborer largement avec le CCD COE de l'OTAN situé en Estonie.
Lors d'un évènement officiel, Janet Napolitano a présenté une vision très "punchy" du futur de la défense informatique des Etats-Unis en insistant particulièrement sur le recrutement de personnalités dites de type "hackers" connaissant tout ensemble les ressorts de l'attaque et celle de la sécurisation.
Les qualifiant de "cyber geeks" (sid), elle a évoqué la problématique accrue du recrutement et des difficultés afférentes. Il n'en demeure pas moins qu'il semble que pour ces personnalités officielles, la possession de capacités offensives demeurent un pré-requis. Un ancien directeur de la NSA a d'ailleurs ajouté que selon lui, cette agence devrait se voir confier plus des responsabilités en matière de protection - notez qu'elle en possède déjà beaucoup.
Il semble ainsi que quelques indices tendent à confondre cette vision actuellement très duale de l'attaquant et du défenseur. S'il demeure vrai qu'un à un niveau très personnel, le professionnel en SSI sait la nécessité de bien connaître les modalités des attaques afin d'adapter sa défense, cela est différent pour un gouvernement.
Ainsi, le caractère spécifique des attaques, souvent dissimulées, et que l'on pourrait presque qualifier de "clandestines" renvoie à des méthodologies d'action de l'Etat souvent discrètes et que l'on ne reconnait surtout pas officiellement. Pour moi, il s'agirait d'une évolution intéressante que ces évènements matérialisent : cela peut demeurer cependant juste un épiphénomène.
Source : dans le texte