Un rapport publié par Security & Defense Agenda avec le concours de McAfee propose à son tour un classement des pays en fonctions de leur capacité de résistance aux cyber-attaques.
Pour se faire, le rapport établit une note composée "d'étoiles" se basant sur divers critères comme "l'hygiène informatique", l'usage moyens des technologies de sécurité des réseaux, l'existence de stratégie ou encore l'existence de standards évolués de sécurité. Le rapport évalue également cette propension à créer un écosystème de sécurité en observant aussi la dépendance à Internet des pays. On trouve enfin des critères comme l'existence d'un ou plusieurs CERTs, notamment à vocation nationale, et la participation aux communautés formelles ou non de ces entités.
De manière tout à fait intéressante, le rapport octroie ses meilleurs étoiles (4 et demi) aux pays suivants : Finlande, Israël et Suède. L'Allemagne et la France se voient notés à 4 étoiles, ce qui les place relativement bien. Parmi les points pénalisants pour la France, le fait que les petites structures ne soient pas forcément capable d'intégrer les principes de sécurité : elle remplit cependant nombre de critères qui la place dans les pays de tête.
Dans un article précédent, on faisait référence à un autre classement qui mettait les USA, l'Australie et la Grande-bretagne dans les premiers. Ici, ils héritent respectivement de 4, 3,5 et 4 étoiles, ce qui ne les place plus dans le peloton de tête.
D'autres acteurs connus comme la Chine et la Russie doivent se satisfaire de 3 points bien que le rapport reconnaisse des lacunes dans leurs capacités à mesurer réellement la réalité.
Parmi les explications, il est avancé que le facteur déterminant dans la réussite à créer un écosystème de sécurité et des mesures efficaces est notamment la petite taille du pays.
Celui-ci, lorsqu'il recueille la meilleure note, est alors profondément dépendant à Internet mais également très avancé dans la conduite du partenariat public-privé. Par exemple, en Israël, l'intervention du gouvernement semble particulièrement importante et sévère en cas de manquement.
La Finlande semble également avoir une tradition de ce type de rapport, hérité de son modèle social et culturel. Elle semble également ne pas faire mystère de ses capacités d'attaque comme le souligne le rapport, critère qui n'apporte pas, dans le cas de la Chine et de la Russie, des "étoiles" en supplément.
Bien que le rapport laisse un peu dubitatif sur les capacités à générer des critères et objectifs de mesure efficaces et parlants - on trouve surtout des résultats d'entretiens - dans les paragraphes relatifs aux pays, la conclusion donne à réfléchir. En effet, alors qu'on apprend à peine que le Département de l'Energie aux Etats-Unis met en place un centre dédié à la sécurité (Joint Cybersecurity Coordination Center), on en vient à se demander si la taille ne fait pas tout à l'affaire.
En effet, alors que l'on évoque souvent le caractère très évolutif et la dissymétrie entre les capacités et la "mobilité" des attaquants (technique, géographique...), les "poids lourds" que sont les grands pays, sujet à des complexité administrative, pourraient avoir plus de difficulté à évoluer.
Comme souvent, de tels classement sont sujets à caution et doivent être interprétés avec prudence. Il n'en demeure pas moins que l'idée suggérée en conclusion demeure intéressante.
Source :