CyCon vs. SSTIC ? Sortir des oppositions...

Mon invention : ne pas rire !

 La semaine dernière se déroulaient deux évènements importants pour tout acteur un tant soit peu concerné par les questions de lutte informatique ou de sécurité des systèmes d'informations.

D'une part, le CCD COE organisait la CyCon, conférence dédiée aux questions doctrinales et stratégiques liées aux "cyberconflits". Celle-ci se déroulait à Tallin, en Estonie où se trouve le centre. Pour mémoire, le CCD COE est un centre de réflexion consacrée aux questions de lutte informatique qui entretient des liens privilégiés avec l'OTAN.

D'autre part, avait lieu le SSTIC, évènement de premier plan dans le milieu de la SSI française et qui existe depuis maintenant 11 ans. Pour mieux marquer l'éloignement, celui-ci avait lieu à Rennes qui rassemble, il est vrai de multiples entités "télécom" et qui tient une place important en matière de rayonnement SSI. Si le sujet vous intéresse, d'autres conférences parisiennes comme NSC ou encore la NDH ont lieu désormais depuis quelques temps et s'avèrent de très bon niveau.

Ayant eu la chance de participer au SSTIC durant ces 3 jours, j'ai pu avoir quelques échos au sujet de la CyCon. Pour ceux qui s'intéresseraient à ces conférences, l'excellent blog n0secure s'est fait un devoir de rendre compte des différentes conférences et des conclusions majeures.

Or, il suffit de comparer le compte-rendu de Cycon signalé ci-dessous ou encore son programme avec par exemple la dernière conférence du SSTIC pour constater ce qui semble, il est vrai, un profond fossé (pour dire le moins) !

D'un côté, la croyance dans les dialogues "cyber" rencontre peu d'adhésion de la part des experts techniques assistant au SSTIC. De l'autre côté, la vision "technique" des décideurs, stratèges et militaires semble bien différente du niveau d'expertise atteinte par les spécialistes en sécurité comme en témoigne les sujets que l'on peut découvre dans le "technical track" de la CyCon...

Avant que l'on oppose l'argument de la différence SSI/LID, je tiens à rappeler car la plupart des perspectives prises par les présentateurs au SSTIC étaient clairement offensives...Il s'agissait moins de défendre que de comprendre les attaques et en dessiner les chemins. 

Autrement dit, et hors toute planification militaire, sécuritaire, technique ou tactique, la probabilité que les auteurs des futures attaques et de leurs aspects techniques se rencontrent lors de ces conférences techniques me parait très forte. De plus, il me semble impossible de créer des capacités de cyber-défense, qu'elles soient offensives ou défensives sans une base d'experts chevronnés, une problématique dont l'ampleur a été rappelé plusieurs fois et notamment dans le livre blanc.

Par ailleurs,considérons un instant qu'il soit nécessaire de développer des capacités de lutte informatique offensives et défensives qui dépassent largement le cadre plus classique de la sécurité informatique ou de la sécurité de l'information : cela signifie donc qu'il est plus que probable que nous soyons attaqués par ce biais d'une part mais également que nos autorités estiment qu'il est nécessaire de préparer des plans ou des modèles d'attaques...

Cette hypothèse étant posée - et elle est jugée préoccupante par le dernier livre blanc - il est donc absolument nécessaire que les modèles d'attaques et de défense se basent sur une information technique à jour, intègre et complète. Or, cette dichotomie croissante que je crois percevoir entre les tenants d'une approche stratégique et ceux qui préfèrent une vision d'expertise technique me semble le meilleur moyen de ne pas y arriver. 

Rappelons également un fait simple : les attaques informatiques, même d'envergure, existaient bien avant que les décideurs politiques ou militaires n'en perçoivent la portée stratégique et décident de l'utiliser. Autrement dit, toute stratégique, tactique ou volonté liée à la défense ou à l'action offensive en matière informatique ou "cyber" ne pourra que se reposer sur la matière technique en premier lieu. 

Il semble donc que pour y être efficace, le cheminement soit d'abord vers les approches techniques afin d'en comprendre la complexité pour ensuite les conjuguer aux besoins stratégiques de la défense. Et non pas l'inverse...

Concluons donc ainsi : il me semble aujourd'hui percevoir un écart croissant entre les professionnels de ces deux mondes que nous évoquons ici. A mon sens, un rapprochement semble nécessaire afin que les "plans" des uns ne soient pas bâtis sans lien avec la réalité des autres. Selon mon opinion, ce rapprochement a plus de sens, aujourd'hui et dans un premier temps, des stratèges vers les techniciens.

Pourquoi ce "sens" me demanderez-vous ? Tout simplement car la portée "stratégique" d'une attaque informatique n'implique pas nécessairement l'usage d'outils hyper-spécifiques (parfois si, bien sur) et l'expérience ou "l'antériorité" en matière d'attaques informatiques se trouve du côté de l'expertise technique. Ne pas s'y résoudre serait prendre le risque de se déconnecter de la réalité tout en n'oubliant pas que nous avons un certain retard en la matière. 

Pour terminer cet article, il me parait nécessaire de rappeler que la perception que nous pouvons avoir de cette distance croissante entre les mondes est liée à la publication de nombreux articles par des auteurs qui n'ont pas toujours une grande expérience du milieu ou encore des actions opérationnelles. Au contraire, les responsables de notre défense et de notre sécurité sont au contraire astreints à une discrétion de bon aloi qui ne permet pas nécessairement de mesurer leur positionnement : peut-être sont-ils épargnés par la tendance décrite ici...Mais cela n'empêche pas d'écrire et de réfléchir "à haute voix" !

Source :

dans le texte

L'Angleterre annonce rejoindre le CCD COE

Le premier ministre britannique David Cameron annonçait hier la volonté de rejoindre ce centre de réflexion et d'expertise relié à l'OTAN. Trois pays ont ainsi annoncé cette volonté de participer officiellement aux travaux de cette entité : les deux autres étant la France et la Turquie. 

Nul doute que les travaux menés continueront à apporter des éléments de réflexion intéressants comme le Manuel de Tallin. Ne doutons pas de la complexité à partager des informations sur ces sujets que l'on sait très sensible. C'est pourquoi il est permis de se demander si ce centre sera susceptible de dépasser les questions juridiques et doctrinales.

Source :

https://www.ccdcoe.org/398.html

http://www.acus.org/natosource/cameron-announces-britain-join-natos-cyber-defense-center

http://cybergeopolitik.blogspot.fr/2012/10/la-france-rejoindra-le-cooperative.html

Droit international et cyberwarfare : Le Manuel de Tallin

Comme une rentrée n'est jamais calme, la rentrée stratégico-littéraire dans le domaine qui nous intéresse s'annonce percutante. 

Les assidus des questions de lutte informatique auront sans doute déjà vu, voire lu, l'ouvrage publié à l'invitation du CCD COE (le Centre de l'Otan consacré aux questions doctrinales et stratégiques du monde "cyber".

Quelques articles ont déjà proposé leurs analyses, en particulier Security Vibes attirant l'attention sur ce document qui présente cependant quelques particularismes notables.

Comme le signale la publication officielle, ce document n'est pas une production appartenant à l'OTAN. On peut donc en comprendre que les conclusions et les logiques suivis par les rédacteurs ne s'imposent pas complètement à l'organisation ou ses membres. Le sujet restant tout à la fois jeune et complexe, immature pour tout dire, cette réserve n'est pas réellement surprenante. Ce point est d'ailleurs précisé au tout premier paragraphe de l'introduction.

Ce document est donc le fruit d'une réflexion de plusieurs experts internationaux (la liste est donnée au début du document) ayant travaillé à l'invitation du centre de réflexion. Ce détail, qui prend toutefois une certaine importance, n'enlève rien à la force des conclusions de ce rapport ou encore à l'impressionnant travail fourni.

On relèvera également une composition relativement peu hétérogène des experts avec de nombreux anglo-saxons et quelques européens sans que cela ne puisse permettre encore de déterminer un degré d'influence quelconque sur le contenu.

Quelques points complémentaires également : le document examine une portion du droit international relatif à ce que l'on appelle le droit des conflits armés ou encore droit de la guerre. Composé traditionnellement de deux grands domaines, le jus ad bellum  codifiant le recours par les Etats à la force et le jus in bello ayant trait à leur comportement et leurs actions durant les conflits. 

Autrement dit, nombreux sont les domaines du droit, à porté international, qui ne sont pas concernés par ce document. Tout d'abord, cela exclut tout ce qui n'est pas étatique car ce sont les états qui sont essentiellement concernés par ces corpus juridique. De fait, le cas des organisations criminelles, les problématiques de droits des télécommunications et bien d'autres questions ne sont pas abordées. On se situe ici, et c'est tout l'intérêt, dans le cadre de conflits inter-étatiques uniquement.

Bien que n'ayant pas tout lu, il semble bien que le document suive une logique globale dont on retrouve déjà trace dans de nombreux documents, en particuliers "International Strategy for Cyberspace" publié par les Etats-Unis. Ce document tend à privilégier l'idée selon laquelle le corpus juridique internationale fournit globalement une assise adaptée au cas des cyberconflits inter-étatiques. 

Certaines évolutions sont toutefois nécessaires et peuvent prendre parfois la forme de précisions ou d'adaptation au contexte mais ce positionnement est un choix important. Il tranche en effet un débat entre deux tendances, celle voulant voir une révolution dans le "cyber warfare" et celle voulant la connecter à des tendances pré-existantes.

N'oublions pas cependant la restriction volontaire du spectre qui n'intègre pas l'ensemble des actes et des acteurs agressifs existant sur Internet. Ce document est le produit d'une réflexion globale sur un sujet clairement limité et défini et pourrait bien faire autorité en la matière.

A suivre d'autres articles pour approfondir l'analyse...

Sources :

http://issuu.com/nato_ccd_coe/docs/tallinn_manual_draft?mode=window&backgroundColor=%23222222

Exercice Locked Shields 2012 - OTAN

L'OTAN, par l'intermédiaire du CCD COE, organise un exercice de lutte informatique qu'il faut ici signaler par son aspect multilatéral.

Il faut également remercier M. Ventre à qui nous devons cette information. Cet exercice opposera donc une équipe rouge (Red Team) constitué de participants estoniens et finlandais. A l'opposé, les Blue Teams seront relativement nombreuses.

On compte ainsi une équipe Suisse, Allemande, Espagnole, Finlandaise, Italienne et des équipes combinées : Austro-allemande, Danoise & Norvégienne et une équipe de l'OTAN.

Selon les communiqués, le scénario semble devoir faire appel à un ensemble de compétences et de capacités des équipes, des aspects purement techniques à l'approche communication de crise.

Source :

http://news.err.ee/sci-tech/1b722b80-f711-49d3-aacd-c045c6135533

http://www.ccdcoe.org/334.html

OTAN : cérémonie de lancement du NCIRC FOC

Le 8 mars a été l'occasion pour l'OTAN, et plus particulièrement l'entité chargé des questions de réseaux et de systèmes d'informations, le NC3A qui a la charge plus général de nombre de questions technologiques qui ont des impacts sur les activités de l'organisation.

Le 8 mars 2012 a donc été créé ou lancé une composante supplémentaire des capacités de l'OTAN : le NCIRC FOC. Sous ce raccourci barbare se cache le nom suivant : NATO Computer Incident Response Capability, Full Operational Capability.

Il s'agit d'après l'article de procurer à l'organisation une capacité à faire fonctionner un CIRT ou un CERT, bien qu'il existe de subtiles différences entre les deux. En bref, l'idée est de disposer d'une capacité de réaction rapide en cas d'attaques informatiques ou de problématiques liées à la cyber-défense.

L'entité devra également assurer des actions complémentaires : mettre en place une série de senseurs, sondes et autres éléments permettant de mesurer l'activité des système en termes de sécurité, procurer des éléments permettant aux décideurs de prendre plus facilement des décisions liées à la sécurité ou la cyber-défense ou encore préparer des "kits" pour des futures Cyber Rapid Reactions Teams.

Dotée d'un budget de 58 millions d'euros, plus gros budget cyber-défense de l'organisation, la capacité sera assuré par un contractant privé, en l'occurence, un conglomérat formé de Finmeccanica, SELEX Elsag, VEGA et Northrup Grumman Corporation. Le contrat est prévu pour une durée de 5 ans.

Se doter d'une telle capacité augure positivement des capacités intrinsèques de l'Alliance même si on aurait pu s'attendre à ce qu'elle soit construite sur des ressources internes et non privées. Le cadre spécifique de l'OTAN et son action importante en matière de cyber-défense emportent peut-être des enjeux particuliers. Il faudra donc le voir à l'oeuvre...si possible !

Source: dans le texte

Infos en vrac : ICANN, OTAN & DoD

Quelques informations en vrac pour cette semaine, de source très différentes et sur des sujets variés :

=> Le gouvernement américain a lancé un appel d'offres pour la fonction IANA de l'ICANN. Pour les néophytes de la gouvernance internet, cette fonction, représentée par un ensemble de services, assure le coeur des services de gouvernance à vocation technique : prise de participation dans la gestion de la racine, interface avec les autres acteurs, maintien des référentiels...

Cela dit, et comme le montre les termes de l'accord, aucune rétribution n'est à attendre de cette fonction et les candidats doivent être américains. Autant de raisons qui font dire aux acteurs et observateurs que le marché est biaisé...De plus, et au-delà de la seule préservation des intérêts américains, l'ICANN semble être le destinataire essentiel de l'appel d'offre entendu que sans cette fonction, l'organisation est dépossédée d'un de ses deux coeurs de métiers...Le second, découlant du premier, étant d'assurer une coordination des processus et acteurs de la gouvernance internet

http://www.lemonde.fr/technologies/article/2011/11/14/la-racine-du-net-soumise-a-un-appel-d-offres_1603342_651865.html

=> Proposé par le blog de D. Ventre, econflicts.blogspot.com, une information dévoilée par un des dirigeants de l'Alliance Atlantique révèle que l'Agence semble être à la recherche d'une harmonisation et d'une stratégie de cyber-défense plus intégrée. Le Maj. Gen. Patrick Fermier, directeur des C3, aurait ainsi évoqué le renforcement des capacités de l'OTAN, éventuellement sous un commandement unifié...A suivre !

http://defensesystems.com/articles/2011/11/10/agg-nato-coordinated-cyber-defense.aspx?admgarea=TC_CYBER&m=1

=> Enfin, proposée par un lecteur de ce blog qui se reconnaîtra et que je remercie ici, une information selon laquelle le Pentagone aurait remis un nouveau rapport au Congrès précisant les éléments de stratégie dévoilée plus tôt dans l'année. Ce blog avait insisté sur les aspects flous et peu précis de ce texte et il semblerait que ce rapport soit justement là pour préciser certains aspects et notamment l'intégration de la composante cyber dans les opérations militaires américaines et dans la planification...Sur ce sujet, et sur le traitement par les forces armées américaines de ces sujets, je vous renvoie au Cahier N°2 de l'Alliance Géostratégique dans lequel ces éléments sont abordés. L'intégration de la capacité offensive, et sa reconnaissance, semble désormais appartenir à part entière aux outils des militaires américains bien que certaines règles d'actions semblent encore poser nombre de questions.

http://www.washingtonpost.com/national/national-security/pentagon-cyber-offense-part-of-us-strategy/2011/11/15/gIQArEAlPN_story.html

Source : dans le texte

ONU & OTAN : Lutte informatique et sécurité du cyber-espace

Le mois d'octobre est riche en informations liées aux problématiques de lutte informatique et de sécurité dans le "cyberespace". Ce billet se consacrera notamment à quelques-unes des dernières actions et décisions prises par l'OTAN et l'ONU dans ces matières. Ces informations sont en effet, particulièrement riche en données sous-jacentes.

Ainsi, l'OTAN a annoncé le 19 et 20 septembre plusieurs initiatives d'envergure concernant la cyber-défense. Toutes deux menées par le NC3A, une des agences de l'OTAN chargées des questions de télécommunications et informatiques (NATO Consultation, Command and Control Agency), la première vise à s'assurer le concours des industriels.

Dénommée "2012 cyber defence procurement", cette première initiative vise à répondre aux objectifs définis dans le dernier concept stratégique. Pour cela, elle s'appuie non seulement sur les besoins définis dans le document mais également sur les investissements réalisés par les Etats depuis (28 millions d'euros au moins). Ces investissements sont destinés à financer des travaux menés par les industriels de défense des membres de l'alliance dans les sujets retenus. Ceux-ci ont en effet 90 jours pour réaliser des propositions qui permettront à l'OTAN de développer les compétences attendues.

Le second projet se rapporte à un ensemble de décisions renforçant les capacités de collaboration des membres de l'alliance sur ce sujet. A cet égard, je vous conseille la lecture du document présentant la nouvelle organisation qui pourra faire l'objet d'une analyse plus poussée. Bien que moins visible à l'extérieure de l'agence, il semble que cette décision concertée des membres de l'OTAN soit de nature à profondément reformer l'organisation de cyber-défense de l'Alliance. Par ailleurs, il est notoire que l'OTAN est une entité qui produit notamment des normes de comportements et qui permet de faire cohabiter des militaires de nombreuses cultures et origines. Peut-être un "mieux" pour la "cyber-défense" ?

Plus récemment, l'Assemblée Générale de l'ONU s'attaquait à un ensemble de problèmes épineux et la première commission se penchait sur "TRAITÉ SUR LE COMMERCE DES ARMES, TEXTES TRAITANT DES ARMES À SOUS-MUNITIONS, SÉCURITÉ DU CYBERESPACE AU CŒUR DES DÉBATS DE LA PREMIÈRE COMMISSION".

Comme souvent en matière d'organisations internationales et en diplomatie, c'est au détour des lignes que l'on trouve le "croustillant"...que je propos de restituer ici (au moins celui que j'ai perçu).

Ainsi, le traitement des "armes, armes à sous-munitions" avec la sécurité du cyberespace est de nature à interroger. Mal à l'aise depuis le début avec la notion d'armes informatiques, force est de considérer que nos représentants à l'ONU semblent moins frileux...De même, la notion de "désarmement" abordée dans le texte semble tout à fait utopique dans ce contexte.

D'autres déclarations sont également intéressantes :

- celle de l'Australie, soutenue par les USA, sur l'effectivité de l'application du droit humanitaire constituant une base de départ dans les négociations de normes régissant le cyberespace. Par ailleurs, les USA ont souligné leur participation dans le cadre d'un groupe d'experts à constituer en 2012. Le représentant australien insiste d'ailleurs sur la nécessité de s'accorder sur des acceptions communes et sur la nécessité de négocier sur les différents aspects du cyberespace. Pour autant, il note que la structure actuelle de la gouvernance internet est légitime car les gouvernements ne sauraient contrôler Internet. On rappellera tout de même que les USA disposent d'un peu plus de contrôle en la matière que les autres.

- celle de la Chine qui rappelle en premier lieu qu'elle est victime de nombreuses cyber-attaques et soi-disant une des principales victimes. Dans un second temps, elle revient sur le code de conduite international relatif à la sécurité de l'information proposée avec la "Fédération de Russie, le Tadjikistan et l’Ouzbékistan".

On se rappellera que ce respect de la sécurité de l'information comporte notamment un volet relatif à l'usage de la "propagande"...Le sujet et son domaine d'application sont assez différents comme ce blog a pu déjà le montrer.

Ces quelques informations semblent bien montrer que l'activisme diplomatique demeure constant au sein des instances concernées. De même, les évolutions de l'OTAN démontrent une prise en compte croissante de ces problématiques...A voir pour l'avenir !

Source :

http://www.un.org/News/fr-press/docs//2011/AGDSI3442.doc.htm

Réunion OTAN sur la cyberdéfense

Selon le site de l'OTAN, une rencontre est prévue entre les pays membres et les pays partenaires afin d'échanger autour des problématiques de cyberdéfense et notamment de doctrine avec un objectif en vue : l'évolution du concept stratégique de l'Alliance.

Les lecteurs attentifs de ce blog se souviendront peut-être qu'une telle réunion avait déjà eu lieu en Juin, au même endroit que celle à venir, Cambridge. Une fois encore, un panel représentatif d'experts sera réuni en provenance des pays membres ou alliés incluant également, comme la première fois, la Russie. Ce blog s'est également souvent fait l'écho des échanges particuliers entre russes et américains sur ces sujets et cette participation parait plutôt de bon augure dans les relations du pays avec l'occident ou les Etats-Unis, au moins sur ce sujet.

La liste des sujets montrent une orientation peut-être plus "haut niveau" que l'atelier précédent qui abordait des sujets comme DNSSEC. L'objectif semble bien être la production de vision stratégique ainsi que l'étude des impacts économiques et de sécurité sur les différents secteurs d'un pays :

• "menaces de sécurité émergentes dans le cyberespace ;
• commandement et conduite des opérations dans le cyberespace ;
• historique des échecs en matière de sécurité de l'internet ;
• cyberrisques et état de préparation dans le secteur privé ;
• comment sécuriser l'internet de nouvelle génération ;
• gouvernance dans le cyberespace - législations, coopération internationale et traités."

Si certains sujets nous interpellent moins, ceux en gras, sont très intéressants car ils dénotent la prise en compte d'opérations dans le cyberespace par des états et des entités militaires alors que les doctrines faisant état d'éléments à ce sujet sont relativement récentes et peu explicites. Dans un second temps, l'analyse des échecs de sécurité sur Internet est également un sujet enrichissant et également "à la mode" au sein de la communauté SSI (n'hésitez pas à lire notre prochaine chronique sur AGS !)


En italique, les sujets liés à la réunion précédente qui avait abordé les questions de DNSSEC et du future de la gouvernance Internet. Visiblement, ces sujets demeurent suffisamment importants et critiques pour susciter un intérêt continu des membres de l'Alliance.

A suivre donc...

Source : dans le texte.