Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Les Etats-Unis font officiellement du cyber un nouveau champ de bataille

auteur de l'article Jerome Saiz , dans la rubrique Cyber Pouvoirs

San Francisco, 16 février 2011. « Le cyber-espace est désormais officiellement un domaine d’opérations au même titre que la terre, l’air, la mer ou l’espace« . L’annonce est faite par William J. Lynn III, ministre américain adjoint de la défense, lors de sa présentation à la RSA Conference de San Francisco.

Venu présenter les grandes lignes de la nouvelle stratégie de cyber-défense américaine, le ministre a d’abord posé le problème auquel les Etats sont confrontés dans le cyber, et notamment l’évolution du risque au fil des années. « La menace cyber n’était jadis que de l’ordre de l’espionnage. Aujourd’hui il s’agit de perturber l’économie. C’est déjà plus sérieux car si l’impact est certes souvent réversible, les pertes économiques ou de confiance ne le sont pas. Mais nous estimons que cela ne s’arrêtera pas là : l’étape suivante visera la destruction. Il est en effet tout à fait possible d’imaginer des cyber-attaques destructives. Cela pourrait bien entendu ne jamais se produire, mais l’histoire a montré qu’une fois qu’elles étaient disponibles peu d’armes n’étaient jamais utilisées. Cela nous oblige à changer de stratégie« , explique le ministre adjoint.

L’ennemi, lui aussi, a changé : une centaine de nations auraient déjà tentées de pénétrer les réseaux américains, mais l’on pourrait presque dire « en bonne intelligence » (oui, il y a un jeu de mot ici). « Ce n’étaient jamais des attaques destructrices, peut-être parce que le risque d’une réponse armée de notre part était simplement trop important« , poursuit le ministre adjoint. Or les officiels reconnaissent désormais que la menace d’une réponse militaire n’effraie pas franchement les groupes organisés ou les individus, pourtant les plus susceptibles de mener des attaques destructrices. « C’est qu’une douzaine de programmeurs en tongs et buvant du Red Bull peuvent faire de gros dégâts !« , plaisante à moitié le ministre (nous lui rappellerons cependant que la création du ver Stuxnet, par exemple, aura très probablement nécessité un peu plus de ressources que quelques paires de tongs et quelques canettes de Red Bull, mais c’est une autre histoire !).

Pour l’heure en matière de « gros cyber-dégâts » le scénario pris le plus au sérieux par les autorités américaines à ce jour est le déversement délibéré de matière toxique, par exemple après la prise de contrôle d’un équipement industriel de type SCADA.

C’est dans ce contexte qu’est né le plan Cyber 3.0, la nouvelle stratégie de défense américaine dans le monde cyber. Outre la reconnaissance officielle du cyber en tant que nouveau domaine d’opération, Cyber 3.0 s’appuie sur quatre autres piliers :

  • Des défenses réseau actives plutôt que passives, et obligatoirement à la vitesse du réseau : l’objectif est de détecter et bloquer en temps réel.
  • Un périmètre étendu à l’ensemble des ressources nécessaires à l’armée, y compris dans le civil. « Un réseau militaire bien protégé est inutile s’il n’y a plus rien autour« , plaisante le ministre. Cela passera notamment par un partenariat avec le département de la sécurité intérieure (Homeland Security)
  • La construction d’une cyber-défense collective avec les alliés des Etats-Unis.
  • Le recours aux forces vives de la nation afin de maintenir l’avantage technologique américain (un point potentiellement conflictuel avec le précédent, car maintenir son propre avantage technologique tout en ayant besoin de ses alliés risque de se révéler un exercice d’équilibriste tout en finesse, ndlr)

Au delà de ces cinq axes, l’une des clés de la réussite de cette nouvelle stratégie de défense sera la qualité des relations entre le gouvernement américain et le secteur privé. « Nous souhaitons monter un partenariat efficace entre le secteur privé et le secteur public, car l’essentiel de ce nouveau champ de bataille appartient au secteur privé« , confirme William Lynn, en annonçant notamment la création d’un programme de partage des informations entre public et privé et en laissant entendre que les acteurs privés pourraient bénéficier des outils de défense militaires, notamment en matière de défense active sur le réseau. Bien entendu, cela ne dit pas combien d’entreprises privées accepteront que le gouvernement américain place des sondes IPS sur leur réseau…

L’autre élément essentiel, bien entendu, sera le financement. Pour cela, des fonds sont déjà budgétés : le Ministère de la Défense allouera un demi-milliard de dollars à la recherche dans le domaine de la sécurité du Cloud Computing, de la virtualisation et du chiffrement.

Mais au delà de l’existant, le ministre pense déjà aux fonds suivants qu’il espère surtout pouvoir débloquer… plus rapidement ! « L’iPhone a été développé, construit et commercialisé en moins de temps qu’il me faut pour obtenir l’accord budgétaire  d’un petit projet« , fait remarquer William Lynn.

Dernier point crucial enfin de ce plan Cyber 3.0, le maintient de l’expertise technique sécurité. Pour cela le Ministère de la Défense compte mobiliser… la Garde Nationale ! « Nous comptons faire un meilleur usage de l’expertise informatique et sécurité des membres de la Garde Nationale« , promet le ministre adjoint. Avec la Garde Nationale à la rescousse, la défense cyber en deviendrait presque une cause nationale !

Et en France ?

L’on peut remarquer certaines similitudes entre les approches américaine et française : la recherche d’un partenariat public – privé (voir les efforts de l’ANSSI dans le domaine et la création des OzSSI) ou la protection des infrastructures critiques (voir la DNS et la qualité d’Opérateur d’Importance Vitale), par exemple.

En revanche une différence majeure tient au statut du domaine cyber : en France il ne s’agit encore que d’une composante des opérations (défensives ou offensives), c’est à dire d’un outil au service d’une opération traditionnelle et non d’un domaine de plein droit. Ca, et bien entendu un point de détail : le budget alloué est sensiblement différent (90 millions d’euros par an pour l’ANSSI)…


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

2 réponses à Les Etats-Unis font officiellement du cyber un nouveau champ de bataille

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.