mercredi 14 décembre 2011

Analyse du "Blueprint for a Secure Cyber Future" - DHS

Cette fin d'année, qui fut très riche en publications stratégiques diverses, est également assez intense avec des acteurs d'importance proposant leur vision. Après le Royaume-Uni, ce sont encore les Etats-Unis, plus précisément l'équivalent d'un ministère de la sécurité intérieure - Department of Homeland Security DHS - qui nous propose une stratégie.

Pour mémoire, on se souviendra que dans le découpage des responsabilités américaines en matière de défense informatique, le Pentagone a une obligation de défense des réseaux militaires tandis que le DHS a celle relative aux réseaux civils, incluant notamment une grande partie des infrastructures critiques.

Dans un tel document, d'environ une cinquantaine de pages, il est fréquent de trouver au début un résumé pratique car il contient souvent les grands axes de la stratégie que suivront les auteurs. Ce document n'y échappe pas et propose ainsi 2 domaines d'applications incluant des grands axes qui définiront les futures étapes d'application de la stratégie :

=> La protection des infrastructures d'information critiques

=> Construire un écosystème dans le cyberespace plus "fort" (entendez plus conforme aux valeurs qui sont les leurs).

Ces deux domaine reposent eux-mêmes sur des buts qui seront atteints si certains objectifs sont remplis. On rappelle donc la logique :

Domaine d'application => Buts => série d'objectifs.

Pour la protection des infrastructures critiques, la stratégie retient 4 buts principaux :

-Réduire l'exposition aux risques "cyber" et donc améliorer la sécurité

- Développer la capacité de réaction et de reprise d'activité

- Maintenir un niveau de connaissance de la situation de risque ou de crise, de manière partagée

- Augmenter la résilience

Pour l'évolution de l'environnement cyber :

- Augmenter la capacité des individus et des organisations à agir de manière sécurisée dans le cyberespace

- Faire évoluer vers une sécurité accrue les outils et protocoles communs qui fondent justement le cyberespace

- Construire des communautés de collaboration

- Mettre en place des processus transparents.

Le nouvel écosystème proposé devra présenter les caractéristiques suivantes :
- Les risques des NTICs sont compris et maitrisés par les utilisateurs

- Les organisations et les individus appliquent au quotidien les bonnes pratiques et les standards de sécurité et de respect de la vie privée

- Les identités des organisations, individus et réseaux sont clairement établies et authentifiées
- Les fonctions de sécurité sont inhérentes au système et inter-opérables

- Des fonction de réponse automatique sont mises en place ainsi que des indicateurs, de machine en machine, afin de répondre aux problématiques de sécurité


Comme on l'évoquait plus haut, les buts de ces domaines d'applications sont soutenus par une série d'objectifs.

Dans la suite de cet article, on présentera surtout les objectifs en relation avec les buts et domaines afin de comprendre essentiellement la structure de cette stratégie.


Différents éléments nouveaux, à mon sens, sont à noter :

La reprise d'une forme de contrôle de l'Internet qui semblait être peu ou prou "abandonnée" par les Etats-Unis. On ne cite ni l'ICANN ni aucun autre organisme classique de normalisation technique ou générique de l'Internet mais la notion de "leadership" dans les organismes de standardisation est claire.

C'est également vrai pour le développement d'un modèle de sécurité inter-opérable qui tend, peut-être, à créer un "bon" et des "mauvais" modèles...La crainte est alors de ne plus disposer d'un environnement si riche, prolifique et créateur en la matière.

La notion "d'authentification de l'identité" est à lier, d'après moi, au document présentant un nouveau modèle de gestion de l'identité par Howard Schmidt. L'équilibre entre la nécessité de confiance dans certaines relations (commerciales, administratives) et celles liées à la protection de la vie privée et d'un certain anonymat n'est pas très clair.

L'évolution des pratiques de partage de l'information a encore récemment fait l'actualité aux Etats-Unis et constitue un vrai enjeu. A cet égard, le retour d'expérience sera sans doute intéressant car, comme il a été évoqué, des fortes contraintes existes et pèseront sans doute sur la bonne volonté des acteurs.

On concluera par l'exposé d'une réelle innovation à mon sens. Trop souvent, l'entreprise est décrié pour sans manque de gestion de la sécurité ainsi que l'utilisateur ("le problème est entre la chaise et le clavier"). Il me parait très intéressant qu'un des objectifs de cette stratégie soit de redonner à l'utilisateur une forme de responsabilité de sa sécurité en accentuant les aspects "pratiques" et "éducatifs" des outils de sécurité fournis. C'est peut-être là que réside la plus grande innovation de ce document.

Source :

http://www.dhs.gov/files/publications/blueprint-for-a-secure-cyber-future.shtm

3 commentaires:

  1. Bonjour,
    La séparation DOD et DHS n'est pas celle que tu indiques pour la défense. La sécurité des réseaux du DoD revient au DoD et celle des ministères et agences civiles revient au DHS. Cependant, la défense des réseaux américains revient au DOD et... à la NSA. Pour certaines entreprises, les deux ministères ont des prérogatives de sécurité. La DOD strategy dans son point 1 est très claire :
    Strategic Initiative 1: DoD will treat cyberspace as an operational domain to organize,
    train, and equip so that DoD can take full advantage of cyberspace’s potential.
    Les Etats-Unis peuvent opérer dans le cyberespace comme dans les autres espaces, cela signifie que tous les réseaux sont potentiellement concernés par les opérations US...
    Ce document est le pendant de la doctrine militaire. Les méthodes introduites sont cohérentes dans les ministères. Nous assistons depuis le 16 mai (US international strategy) à une approche globale de stratégie dans le cyberespace. Un exemple à suivre ?
    Bien cordialement

    RépondreSupprimer
  2. Bonjour,

    Merci pour le commentaire...

    J'ai beau relire : je crois que nous écrivons la même chose ^^

    RépondreSupprimer
  3. Salut,
    Non, non :D. Il me semble que si tu parles de défense la ou il s'agit de sécurité, la nous sommes d'accord. Je sais qu'il existe un continuum mais les notions sont quand même différentes. Je précise cela car dans certains pays, comme la France, ce n'est pas la Défense qui est chargée de la défense des réseaux au sens large. D'ailleurs, cela correspond aux instituions, au delà du cyber.
    Amitiés

    RépondreSupprimer