UK & Cyberdefense

Le Cyber Security Operations Center, organisme anglais en charge de toutes les questions relatives à la protection du cyberespace anglais devrait être opérationnel pour Mars 2010.

En charge également de la très "chaude" problématique des infrastructures vitales, il sera animé par 19 personnels avant d'envisager un élargissement des ressources humaines. Celles-ci devront être animées de "l'esprit hacker".

Il sera supervisé par le Cabinet Office qui gére également l'Office of Cyber Security, chargé quant à lui des stratégies et programmes transverses du gouvernement anglais. Le scope de cette agence est plutôt l'infrastructure IT britannique tandis que le CSOC privilégie la question des infrastructures critiques.

Source : http://news.zdnet.co.uk/security/0,1000000189,39877965,00.htm & http://news.zdnet.co.uk/security/0,1000000189,39667231,00.htm

FRANCE 24 : reportage sur la cyberguerre

Une émission consacrée à la "cyberguerre" par France 24. Son invité, Daniel VENTRE, a consacré plusieurs ouvrages très intéressants à la Guerre de l'Information. En particulier, il est un des rares experts à avoir publié une liste importante des efforts doctrinaux et organisationnels entrepris par plusieurs pays dans le domaine.

Sans que cela ne soit étonnant, je m'inscris un peu en faux contre certains propos alarmistes et mal pesés des journalistes dans la parti vidéo. En revanche, les leçons données et les propositions formulées par certains interviewés sont à retenir.

On remarquera le symbole qui représente la cyber-défense au début, lors de la conférence otanienne : une résultante entre la Loi, la Technique et les politiques. Autrement dit, une approche humaine/organisationnelle, une approche technique et une approche juridique. Éminemment vrai !

Source : http://www.france24.com/fr/20091026-cyberguerre-ANSSI-OTAN-cybercriminalit%C3%A9

Nouveau centre pour la NSA

Un nouveau centre dédié aux questions de cybersécurité est actuellement en cours de constructions à proximité de Salt Lake City dans la zone de la National Guard de l'UTAH. Parrainé par la NSA, ce centre s'inscrit dans la continuité de la Comprehensive National Cybersecurity Initiative lancée par l'ex-président G.W. Bush.

On retiendra le coût exorbitant (1,5 milliard de dollars) et les objectifs, à priori, de cette installation : fournir une capacité unifiée de connexion aux différentes agences et administrations américaines afin d'en améliorer la sécurité.

Source : http://www.computerworld.com/s/article/9139915/NSA_to_build_1.5B_cybersecurity_center_near_Salt_Lake_City

Conformité : bien mais peut faire mieux !

Une réaction intéressante encore une fois aux Etats-Unis où l'évaluation des politiques et pratiques de sécurité est très largement commentée. Vivek Kundra, membre du GAO (la cour des comptes américaine) s'est ainsi exprimé devant le Congrés et a émis l'hypothèse que le niveau de "cyber-sécurité" était encore trop bas notamment à cause d'une approche trop "scolaire" du FISMA.

Le FISMA est une loi qui définit les obligations relatives au management de la sécurité de l'information, notamment pour les administrations et autres agences américaines. Kundra dénonce à ce niveau une approche de type "conformité" tout à fait regrettable. En effet, tous les efforts entrepris en ce sens, bien que remarquable, ne sont pas aptes à garantir une sécurité de l'information efficace.

Certains experts ont déjà, par ailleurs, critiqué de telles approches "conformité" appliquées à l'ISO27002 qui engendrent des effets désastreux en termes de coûts sans parfois élever efficacement le niveau de sécurité. L'application de cette norme se concevant dans une démarche de management des risques et de mesures répondant aux risques existants et mésurés.

Un esprit taquin ajouterait par ailleurs que les obligatoires audits pratiqués aujourd'hui sont un peu dans la même veine. Ils répondent à un besoin ancien (prévenir les scandales de "type" ENRON) et s'ils apportent une forme de certitude sur les comptes et la bonne gestion des entreprises, ces mêmes audits n'ont pas été utiles pour prévenir la crise que nous connaissons aujourd'hui. Les obligations d'audit n'étant, en effet, pas prévues pour mesurer ces risques précis et les organisations contrôlées se focalisant sur le respects des principes et éléments garantissant un audit aux résultats favorables.

Il ne faut pas voir ici une critique de l'approche normative, bien au contraire, car elle est un élément majeur et indispensable mais les critiques de la GAO rappellent qu'au-delà des normes, la sécurité est parfois également une affaire d'intelligence et de bon sens.

Source : http://gcn.com/Articles/2009/10/30/Cybersecurity-hearing-Congress-Kundra.aspx?Page=1

Nouveau centre dédié à la cybersécurité pour le DHS

Le DHS américain a ouvert un nouveau centre dédié aux questions de cyber-sécurité. Baptisé National Cybersecurity and Communications Integration Center (NCCIC), il aura un rôle d'alerte, de surveillance et de coordination notamment sur les questions liées aux infrastructures vitales qui préoccupent éminemment nos amis outre-atlantiques.

Plus intéressant, il sera au final l'autorité de supervisions de l'US-CERT, du National Cyber Security Center et du National Coordinating Center for Telecommunications. Il sera basé à Arlington.

Source : http://fcw.com/articles/2009/10/29/web-new-dhs-cybersecurity.aspx

Hacktivism, Cyber-Protestation, Cyber-Jihad

Un très intéressant support de conférence a été mis en ligne récemment (cf. Source). Il y explique les différences entre ces 3 types d'activités sur Internet, leurs modes d'actions et les conséquences.

A noter qu'il met bien en avant la part criminelle et hacktivistes des attaques informatiques observées en Géorgie, Estonie et ailleurs !

Source : http://blog.damballa.com/?p=399

SCADA & Cyberwarfare

A signaler une coïncidence troublante, deux articles parus récemment font état des efforts entrepris par l'Union Européenne d'un côté et les USA de l'autre au regard de la protection "numérique" des infrastructures critiques liées notamment à l'énergie.

On note quelques réflexions intéressantes : si en termes stratégiques, multiplier les fournisseurs de gaz a augmenté l'indépendance de l'Europe, en termes de réseau, celle-ci s'est également trouvé plus faible car plus vulnérable.

Pour le reste, il s'agit essentiellement de retours sur la problématique bien connue et maintes fois traitée des SCADA. A noter cependant une différence essentielle entre gaz et électricité : l'un peut être stocké pour gérer les flux de façon optimale alors que l'électricité ne peut l'être. Les risques qui en découlent sont légèrement différents.

Cependant, l'arbitrage ancien reste vrai : les produits utilisés dans les réseaux de gestion ainsi que les contraintes propres à l'exploitation induisent de vrais risques et de vraies vulnérabilités. Pour autant, les exemples à proprement parler d'intrusions dans les SCADA, s'ils existent bel et bien, n'ont pas encore créé des dommages du niveau envisagé par les auteurs. Enfin, les "cyber-terroristes" ne pas procédé à de telles attaques. Ne le peuvent-ils pas encore (alors que des failles existent, sont publiées mais pas forcément patchées) ? Ne le peuvent-ils plus en l'état de la mouvance actuelle ? Ou ne le veulent-ils pas ?

Aux Etats-Unis, la question parait plus centrée sur les questions d'énergie électrique en raison notamment du développement du Smart Grid, un réseau de distribution contenant des éléments dits "intelligents". Ces éléments, informatiques pour la plupart, feront appels à des technologies qui emportent des vulnérabilités supplémentaires à celles déjà existantes. Cet état de fait explique sans doute les appels répétés à des financements fédéraux supplémentaires. On notera par ailleurs que le NIST (un peu notre AFNOR pour la SSI) a publié une série de recommandation adressé aux concepteurs du Smart Grid.

Ainsi, ces problématiques posent une vraie question : celle de l'adoption des modèles de sécurité à des industries possédant des contraintes propres, différentes de l'exploitation de "l'informatique de gestion" que l'on rencontre plus souvent. Question passionnante qui sera sans doute longtemps encore débatue.

Une seconde question se trouve dans un niveau d'analyse : chaque article du genre, bien qu'il apporte des informations nouvelles et instructives, considère comme acquis la volonté et la capacité d'individus ou de gouvernements à procéder à de tels actes. Cela dit, rien ne parait encore s'être produit. Manque de moyens ? de compétence ? de motivation ? Effectivité d'une forme de dissuasion ?

Source : http://www.ensec.org/index.php?option=com_content&view=article&id=219:european-energy-infrastructure-protectionaddressing-the-cyber-warfare-threat&catid=100:issuecontent&Itemid=352

http://gcn.com/Articles/2009/10/28/Smrt-Grid-security-hearing-102809.aspx?Page=2