huyghe.fr - Le site de François-Bernard Huyghe
OK
 Sur Twitter : @huyghefb
 Comprendre les conflits : une nouvelle polémologie
 Terrorisme
 Affrontements, stratégies et images
 Information, pouvoir et usage : l'infostratégie
 Intelligence économique : du savoir à l'influence
 Pouvoirs et information
 Transmission et communication : la médiologie
 Médiologie au présent
 Médiologie de l'histoire
 Divers
 Textes à télécharger
 Huyghe Infostratégie Sarl
Comprendre les conflits : une nouvelle polémologie > Affrontements, stratégies et images
Cybersécurité II
Dans un article précédent nous avions décrit la cybersécurité comme un enjeu - impliquant le contrôle de secrets, de fonctions et d'images - se jouant à travers l'utilisation d'informations numérisées circulant sur les réseaux. Pour le dire autrement, il y a affrontement entre, d'une part, des attaquants agissant par écrans interposés (et qui cherchent à s'emparer de données, à perturber des systèmes et à faire prédominer certaines représentations) et, d'autre part, des défenseurs ou des victimes dont le premier souci est souvent de mettre fin à l'attaque et de revenir à l'équilibre antérieur.
De ce fait, on peut globalement assimiler l'attaque (il faut bien raisonner en termes d'attaque et défense) comme une forme modernisée
- de l'espionnage (acquérir illégalement des informations confidentielles pour en faire un usage agressif),
- du sabotage (handicaper un adversaire ou un rival en empêchant ses systèmes, notamment de contrôle et de messagerie, de bien fonctionner)
- de désinformation ou de propagande (diffuser ou faire diffuser des informations, souvent fausses, et qui vont affaiblir l'adversaire ou la victime).
Les trois pouvant d'ailleurs se mélanger.

La distinction reste pourtant importante dans la mesure où il importe de savoir si le but principal de l'attaque est de s'emparer d'une richesse ou d'un savoir (notamment dans une perspective de compétition économique), de provoquer un ravage, éventuellement pour exercer une pression politique, ou si la finalité de l'attaque est d'être surtout notoire et d'exercer ce que nous appellerions un effet de croyance sur l'opinion : dénoncer ou ridiculiser un adversaire, répandre certaines croyances idéologiques, etc.

L'attente du chaos

Le souci de la cybersécurité est tout sauf nouveau. L’attente de la grande attaque (Pearl Harbour, Cybergeddon…) ou du méga accident qui provoquerait le chaos dans des sociétés dépendantes de leurs prothèses électroniques est tout sauf nouvelle. Comme deux mythes concurrents - Big Brother qui surveillera tout ou l’Agora électronique où aucun pouvoir central ne contrôlera plus l’expression démocratique - celui-ci date plus de vingt ans. À certains égards, nous ressemblons au lieutenant Drago dans le Désert des Tartares de Dino Buzatti : nous attendons sur la muraille (fut-elle un firewall) que surgisse le danger ultime du fond de l’horizon.
Par ailleurs, la pensée stratégique - aux USA et en France en tout cas - tend de plus en plus à fusionner tous les dangers - guerre, terrorisme, catastrophes écologiques et, bien sûr, informatiques - dans la catégorie d’une sécurité “globale” où s’atténueraient les différences entre l’interne et l’externe, le militaire, l’économique et le politique, etc… Donc à penser en termes de “menaces” et de système…

Cette crainte à la mesure de la complexité de nos systèmes et réseaux n'a aucune raison de s'atténuer avec le temps, ni d'être exorcisée par la bonne vieille foi dans les progrès futurs de la technique.
En effet, Plus nous confions nos opérations, nos richesses, nos mémoires, nos opérations mentales, etc. à des processus numériques et à des réseaux, plus nous courons un risque lié au savoir.

Savoir insuffisant (celui de nos systèmes de protection forcément imparfaits à la mesure de leur complexité), car il faut rappeler qu'il n'y a d'attaque possible que là où l'on a décelé une faille, mais que les failles ou vulnérabilités tendent à se multiplier au même rythme que les usages, les protocoles, les innovations, etc.
savoir “désirable” (vol de données, d’identités…) qui rend le crime ou l’attaque plus rentables dans le cyberespace,
savoir offensif (pour être un cybercriminel ou un cyberguerrier, il suffit de moyens matériels modestes, mais il faut des connaissances (peut-être sophistiquées, mais transmissibles “de cerveau à cerveau”).

Et, bien sûr, il est plus difficile de contrôler la prolifération des compétences chez les hackers que celle des têtes de missile ou la fabrication de tanks qui ne sont pas à la portée du simple citoyen.

Nature de l'attaque

Toute attaque pose par nature un problème plus subtil qu'une agression physique "dans la vraie vie" :

- La difficulté la plus connue est de l'attribuer. Désigner le coupable est tout sauf évident, dans la mesure où une enquête peut mener au mieux à l'adresse IP (comme l'immatriculation) d'un ordinateur. Mais cela ne vous dit pas quelle était la personne physique assise derrière la machine, si elle agissait pour un État ou pour une firme rivale, pour la recherche du profit ou de l'exploit, qui la payait ou la commandait, si un service officiel était au courant, etc.
Et quand bien même on peut présumer que dans tel pays, tel type de piraterie n'a pas pu se développer sans que les services de police ou de renseignement ne le tolèrent ou l'encouragent, ce n'est pas un argument décisif devant une cour internationale ou l'Assemblée Générale des Nations Unies.

- Anonyme ou douteuse, menée à distance,peu coûteuse, bénéficiant a priori du principal atout stratégique -la surprise -, innovante et rentable, l'attaque tend à avoir l'avantage sur la défense. Et d'ailleurs la défense contre qui ? À ce jeu l'ennemi qui ne se déclare pas n'est pas facile à désigner, même si certains pays comme la Chine sont systématiquement mis en cause, surtout par les USA. La première frappe est donc tentante pour l'agresseur.

- L'attaque cyber "pure" peut très bien se combiner à d'autres formes d'offensive militaire, économique, politique, d'influence, etc.

- Elle est très souvent mixte en ce sens qu'elle peut combiner des éléments civils et militaires, à l'intérieur et à l'extérieur d'un pays, des objectifs publics ou privés, etc.

- Conséquence de tout ce qui précède : on sait très bien comment va commencer une cyberattaque : des données confidentielles seront consultées voire publiées, des sites seront bloqués, des systèmes tomberont en panne ou cesseront d'obéir à leur propriétaire légitime, des mémoires seront inaccessibles, les décideurs recevront des informations fausses, des contenus illicites seront propagées. Bref, il y aura un désordre imputable à une intention maligne. Donc un crime ou un délit.
Mais il est plus malaisé de savoir ce que recouvrira ce crime ou ce délit, s'il sera le révélateur d'une forme d'espionnage industriel, d'une offensive militante à but idéologique ou s'il faut le considérer comme un acte de guerre, voire comme le début d'une escalade qui aboutira à une "vraie" guerre. La catégorie -criminalité pure, concurrence économique illicite, action politico-militaire,démonstration idéologique - entraîne évidemment de grandes différences dans la façon de réagir. La qualification qui est une décision politique est donc une étape cruciale.

- Corollaire : nous ne possédons pas encore la bonne grammaire ou le bon code pour régir le dialogue avec l'adversaire - le menacer, le décourager, le châtier, négocier avec lui, le tromper à son tour, etc.- qui dépend largement de cette interprétation de ses finalité : capacité (gain et accroissement), dommage et contrainte ou influence sur l'opinion.

De la cybersécurité à la cyberstratégie

La première conclusion logique de ce diagnostic est que la réponse ne saurait être en aucun cas purement technique. Certes, il faut avoir la meilleure cryptologie, les meilleurs pare-feux, les meilleurs systèmes de détection précoce, la meilleure résilience, la plus grande redondance possible de systèmes de secours, les meilleurs réparateurs…

Il importe maintenant de se doter surtout du meilleur renseignement (y compris humain) pour identifier les acteurs, leurs intentions et leurs capacités et de se doter d'une véritable stratégie dans le cybermonde. Elle décidera en particulier du rôle du souverain, l'État, du stade de son intervention sur des enjeux qui peuvent effectivement être de souveraineté, de ses objectifs à long terme et de sa façon de jouer la partie dans une perspective de puissance et pas seulement de réduction du risque.

la suite de Cybersécurité 1
 Imprimer cette page