Ce texte est particulièrement intéressant car il s'agit d'une première remise à jour d'une doctrine de sécurité déjà établie. C'est une forme de "seconde génération" de doctrine de sécurité dans le cyberespace.
Cette stratégie est établie jusqu'à 2015, ce qui fait du Royaume-Uni, le premier état à considérer l'amélioration continue (bonne pratique de SSI !) un des moteurs de sa stratégie. A cette fin, elle établit un budget lié, d'environ 650 millions de Livres Sterling, sur la même durée et établit la "menace" et la problématique du cyberespace dans les 3 plus importantes.
Elle définit également 4 objectifs principaux :
=> Renforcer la lutte contre la cyber-criminalité par la création, notamment, d'une National Crime Agency qui travaillera au-delà de la question cybercriminelle mais constituera une entité unique pour toutes les questions criminelles complexes de ce type.
=> Renforcer sa résilience contre les cyber-attaques : on sent plus la prégnance du diplomatico-stratégique ici, c'est à dire d'une adresse aux Etats alliés ou non, agences de renseignements et autres.
=> Participer à l'évolution globale du cyberespace vers un domaine plus et mieux contrôlé offrant des meilleurs garanties de sécurité pour les usagers.
Comme en 2009, la stratégie établit un objectif transverse relatif aux compétences et acquisition technologique et, à mon sens, commet une erreur en mélangeant moyens et objectifs. D'autant qu'elle prononce ensuite une liste de moyens classiques, relativement génériques au demeurant, parmi lesquels :
=> le renforcement du partenariat public-privé
=> l'établissement de relations privilégiées avec les FAI à des fins de sécurité
=> une meilleure coopération internationale
=> un renforcement des capacités de défense autour des entités déjà connues (GCHQ par exemple).
En poursuivant, nous découvrons le premier chapitre consacré aux l'évaluation des modifications économiques induits par le développement de l'usage des NTICS : consommation, éducation mais aussi économies pour les états...
Un second chapitre traite ensuite des menaces évolutives, qui constituent très certainement une des causes de ce renouvellement et de l'évolution de cette stratégie. Considérant sa structure, on peut même plutôt y voir une forme de mise à jour, ce qui serait cohérent avec la description d'une stratégique au sens classique. Celle-ci constitue un ensemble d'objectifs avec un certain délai : il ne serait pas logique de les voir changer chaque année.
En revanche, un ré-examen de la situation de la menace ou, plus généralement, de l'environnement, plus régulièrement permet de procéder à des ajustements et reste tout à fait pertinent vis-à-vis d'une démarche que l'on imagine plus longue et complexe.
Comme attendue, l'analyse de la menace est très intéressante. Elle reprend les problèmes sous-jacents (pas de sécurité dans l'architecture du Net) ainsi que les acteurs classiques et leurs atteintes communes, cybercriminels et cybercriminalité.
En revanche, lorsqu'elle s'attarde sur l'aspect terroriste, c'est bien pour mettre en avant l'aspect logistique et communication offensive. Tout en préservant la question des attaques sur les infrastructures, la stratégie n'en fait pas pour le moment le problème le plus important.
En bonne place figure également la mouvance "hacktiviste" qui a été cette année particulièrement au centre des attentions avec des attaques de perturbation, sur la réputation. Les menaces par les services de renseignement étrangers sont également abordés sans distinction particulière.
Si le document évoque des exemples récents avec la montée des mobiles/malwares et le cas de Sony, elle n'oublie pas des éléments plus délicats à aborder : la préservation des valeurs du pays dans un environnement d'échange ou encore la problématique des normes de demain qui feront, il est vrai, une bonne part des vulnérabilités du futur.
De manière assez étonnante dans ce chapitre se trouve également des éléments sur l'accès à Internet pour le public, en particulier dans le contexte du "printemps arabe", et la nécessité de posséder un corpus partagé de principes, droits et textes juridiques concernant le cyberespace.
Le 3ème chapitre décrit les grands principes de la mise en application des 4 axes de cette stratégie.
A l'instar de l'approche allemande, que l'on avait critiquée lors de sa parution, il semble que la vision "risque" soit inhérente à cette stratégique. Malgré tout, il semble que cette stratégie conserve une vision très politique des choses qui dément cette vision "risk approach". Et ce n'est pas plus mal...Voici les principes retenus :
=> une approche fondée sur la coopération avec le secteur privé mais également à l'international
=> un équilibre entre sécurité et droits de l'homme, qui n'est pas forcément nouvelle mais résonne des préoccupations actuelles.
=> une protection axée sur 3 rôles principaux
- utilisateur : sensibilisation, conscience...Cela passe par apprendre à protéger des mots de passe ou encore faire des mises à jour
- entreprise : protection des savoir-faire, production de services et offres de sécurité...
- gouvernement : construire le cadre juridique, éducatif, se préoccuper des menaces de haut-niveau, participer aux évolutions internationales...
Afin de simplifier la lecture, nous arrêterons là l'analyse et proposons une suite dans un second article, voire un troisième. Voici donc un premier élément de conclusion.
Que peut-on retenir des premiers éléments de cette stratégie ?
Tout d'abord, on retiendra qu'elle se situe dans la droite ligne de la précédente et si elle semble en hériter quelques défauts, elle marque par une forme de maturité. Ainsi, l'analyse de la menace est équilibrée tout en restant globale et à jour.
La prise en compte de l'actualité ne dissimule ainsi pas, à la lecture, des tendances plus profondes et des analyses très pertinentes comme la question des valeurs et des droits de l'homme ou encore la place du droit.
Enfin, on notera une considération élevée et intéressante de la sécurité qui replace l'utilisateur au centre de ses usages tout en conservant au hautes-instances des rôles d'expertise et de régulation. Il n'est plus question donc d'un simple effet d'annonce sans un contexte intellectuel construit.
A suivre donc...
Source :